Zum Hauptinhalt springen

Auftragsverarbeitungsvertrag (AVV)

Textstand: Juli 2026 (keine rechtliche Freigabe)

Nicht finaler Entwurf vorbehaltlich Rechts- und Steuerberatungsprüfung. Unterzeichnete Kundenbedingungen sind maßgeblich; zusätzlich ist ein ausgeführter kundenspezifischer AVV erforderlich, und diese öffentliche Vorlage begründet keine Auftragsverarbeiterpflicht.

Diese nicht finale AVV-Vorlage dient ausschließlich der Prüfung durch Kunden und Rechtsberatung. Sie bezeichnet keinen bestätigten Auftragsverarbeiter und begründet keine Verpflichtung, bis die Anbieteridentität konfiguriert, die Rechtsprüfung abgeschlossen und kundenspezifische Bedingungen unterzeichnet sind. Pflichten, technische Maßnahmen, Unterauftragsverarbeiter, Regionen und Melderegeln gehören vor der Produktivverarbeitung in diese ausgeführte Vereinbarung.

1. Geltungsbereich und Zweck

Wenn ausgeführte Kundenbedingungen den im Impressum bezeichneten Anbieter als Auftragsverarbeiter bestellen, kann der vereinbarte Umfang den Betrieb der LuniOps-Plattform sowie Kontakt-, Geschäfts-, Bestell-, Liefer-, Rechnungs- und Benutzerkontodaten umfassen. Der endgültige Umfang wird ausschließlich in der unterzeichneten Vereinbarung festgelegt.

2. Pflichten des Auftragsverarbeiters

Der unterzeichnete AVV definiert dokumentierte Weisungen, Vertraulichkeitspflichten, Unterstützung bei Betroffenenrechten, Beendigung, Prüfinformationen sowie deploymentbezogene technische und organisatorische Maßnahmen. Diese öffentliche, nicht finale Vorlage verspricht keine konkrete Pflicht, Verschlüsselungsversion oder Kontrollwirksamkeit vor bestätigter Anbieteridentität, Rechtsprüfung und Unterzeichnung.

3. Unterauftragsverarbeiter

Der unterzeichnete AVV listet nach Anbieter- und Rechtsprüfung die für den Kunden tatsächlich eingesetzten Unterauftragsverarbeiter, Zwecke, Regionen, Transfergarantien, das Änderungsverfahren und etwaige Widerspruchsrechte auf. Verwaltete Google-Cloud-/Firebase-Dienste sind technische Kandidaten; ein Zahlungsanbieter wird nur bei ausgewählter und aktivierter Vertragsabrechnung aufgenommen. Diese öffentliche Vorlage ist kein produktives Unterauftragsverarbeiterregister.

4. Sicherheitsmaßnahmen

Technische und organisatorische Maßnahmen werden dienst- und deploymentbezogen in einer TOM-Anlage bestätigt. Dazu gehören konfigurierte Transport- und Speicherschutzmaßnahmen, Backend- und Security-Rules-basierte Mandantentrennung, rollenbasierte Zugriffskontrollen, implementierte Audit-Ereignisse sowie erst nach Produktionsaktivierung nachgewiesene Sicherungs-, Wiederherstellungs-, Überwachungs- und Alarmierungsprozesse.

5. Internationale Übermittlungen

Soweit personenbezogene Daten in Drittländer außerhalb der EU/des EWR übermittelt werden, prüfen wir die Übermittlung nach Kapitel V DSGVO, einschließlich Art. 44-46 DSGVO, und stützen sie, soweit erforderlich, auf EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 oder einen anderen gültigen Übermittlungsmechanismus. Für relevante Unterauftragsverarbeiter werden Übermittlungsrisiken und zusätzliche Schutzmaßnahmen geprüft. Die produktive Regionskonfiguration wird dienstspezifisch verwaltet und intern dokumentiert.

6. Benachrichtigung bei Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen nach Bekanntwerden einer bestätigten Verletzung personenbezogener Daten unverzüglich, soweit dies gesetzlich oder im unterzeichneten AVV erforderlich ist. Inhalt und Zeitplan richten sich nach Rolle, Risiko, Sachverhalt und den Pflichten des Verantwortlichen nach Art. 33 und 34 DSGVO.

7. Kontakt

Für die Prüfung dieser AVV-Vorlage nutzen Sie das sichere Kontaktformular oder die bestätigte E-Mail-Adresse im Impressum. Eine ausgeführte Kopie setzt konfigurierte Anbieteridentität, rechtliche Freigabe und unterzeichnete Kundenbedingungen voraus.