Zurück

Vertrag über die Auftragsverarbeitung gemäß Art. 28 DSGVO

Stand: Juni 2026

zwischen dem Kunden der Plattform „Complianty"

— nachfolgend „Auftraggeber" (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO) —

und

Tobias Keller
Birkenweg 20a
34320 Söhrewald
E-Mail: mail@complianty.de

— nachfolgend „Auftragnehmer" (Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO) —

Präambel

Der Auftraggeber nutzt die Software-as-a-Service-Plattform „Complianty" (nachfolgend „Plattform") auf Grundlage der Allgemeinen Geschäftsbedingungen des Auftragnehmers (nachfolgend „Hauptvertrag"). Im Rahmen der Nutzung verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers, insbesondere Daten, die der Auftraggeber über seine Endkunden (Mandanten) in die Plattform einstellt. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 Abs. 3 DSGVO.

Dieser Vertrag wird mit Abschluss des Hauptvertrags (Registrierung) Vertragsbestandteil; einer gesonderten Unterzeichnung bedarf es nicht. Auf Wunsch stellt der Auftragnehmer eine unterzeichnete Fassung in Textform bereit.

§ 1 Gegenstand und Dauer des Auftrags

(1) Gegenstand des Auftrags ist die Bereitstellung und der Betrieb der Plattform gemäß Hauptvertrag. Art und Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1.

(2) Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet mit dessen Beendigung, frühestens jedoch mit der vollständigen Löschung bzw. Rückgabe der Auftragsdaten gemäß § 11.

(3) Die Verarbeitung findet ausschließlich in Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Eine Übermittlung in Drittländer erfolgt nur unter den Voraussetzungen des § 8 Abs. 5.

§ 2 Abgrenzung der Verantwortlichkeiten

(1) Dieser Vertrag gilt für alle Verarbeitungen, bei denen der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet (nachfolgend „Auftragsdaten"). Das sind insbesondere die Daten, die der Auftraggeber über seine Mandanten und deren Websites in die Plattform einstellt oder die die Plattform hierzu erhebt (Anlage 1).

(2) Nicht Gegenstand dieses Vertrags sind Verarbeitungen, die der Auftragnehmer als eigenständiger Verantwortlicher durchführt, insbesondere die Verwaltung des Kundenkontos (Vertrags- und Rechnungsdaten des Auftraggebers, Zahlungsabwicklung) sowie der Betrieb der öffentlichen Website. Einzelheiten hierzu ergeben sich aus der Datenschutzerklärung.

(3) Der Auftraggeber ist im Verhältnis zum Auftragnehmer allein verantwortlich für die Rechtmäßigkeit der Verarbeitung der Auftragsdaten (Art. 6 DSGVO) sowie für die Wahrung der Rechte der betroffenen Personen. Er stellt insbesondere sicher, dass er berechtigt ist, die Daten seiner Mandanten in die Plattform einzustellen und die hinterlegten Websites prüfen zu lassen.

§ 3 Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer verarbeitet die Auftragsdaten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

(2) Der Hauptvertrag, dieser Vertrag sowie die Nutzung der Funktionen der Plattform durch den Auftraggeber (z. B. das Auslösen von Scans, das Anlegen von Schulungsnachweisen, das Erstellen von Share-Links) gelten als dokumentierte Weisungen. Ergänzende Weisungen bedürfen der Textform.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt. Er ist berechtigt, die Ausführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung auszusetzen.

§ 4 Vertraulichkeit

Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der Auftragsdaten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitspflicht besteht auch nach Beendigung dieses Vertrags fort.

§ 5 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO und hält diese während der Vertragslaufzeit aufrecht.

(2) Die Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragnehmer darf sie ändern oder weiterentwickeln, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert.

§ 6 Unterstützungspflichten des Auftragnehmers

(1) Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Kapitel III DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) zu beantworten. Die Plattform stellt hierfür insbesondere Export- und Löschfunktionen bereit.

(2) Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, leitet dieser das Ersuchen unverzüglich an den Auftraggeber weiter, sofern eine Zuordnung möglich ist.

(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).

§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten, die Auftragsdaten betrifft, unverzüglich nach Bekanntwerden in Textform an die im Kundenkonto hinterlegte E-Mail-Adresse, um dem Auftraggeber die Einhaltung seiner gesetzlichen Meldefristen (insbesondere Art. 33 Abs. 1 DSGVO) zu ermöglichen.

(2) Die Meldung enthält, soweit bereits verfügbar, die Informationen gemäß Art. 33 Abs. 3 DSGVO (Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, wahrscheinliche Folgen, ergriffene und vorgeschlagene Maßnahmen). Nicht sofort verfügbare Informationen werden ohne unangemessene Verzögerung nachgereicht.

(3) Die Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und an betroffene Personen (Art. 34 DSGVO) obliegt dem Auftraggeber.

§ 8 Subauftragsverhältnisse

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung gemäß Art. 28 Abs. 2 DSGVO, weitere Auftragsverarbeiter (Subunternehmer) einzusetzen. Die zum Vertragsschluss eingesetzten Subunternehmer sind in Anlage 3 aufgeführt.

(2) Der Auftragnehmer verpflichtet jeden Subunternehmer durch Vertrag im Wesentlichen zu denselben Datenschutzpflichten, wie sie in diesem Vertrag festgelegt sind, insbesondere zur Einhaltung geeigneter technischer und organisatorischer Maßnahmen.

(3) Über beabsichtigte Änderungen — die Hinzuziehung neuer oder die Ersetzung bestehender Subunternehmer — informiert der Auftragnehmer den Auftraggeber mindestens vier Wochen vor Wirksamwerden in Textform (z. B. per E-Mail an die im Kundenkonto hinterlegte Adresse).

(4) Der Auftraggeber kann der Änderung innerhalb von zwei Wochen nach Zugang der Information aus wichtigem datenschutzrechtlichen Grund widersprechen. Im Fall des Widerspruchs werden die Parteien einvernehmlich eine Lösung suchen; gelingt dies nicht, sind beide Parteien berechtigt, den Hauptvertrag zum Zeitpunkt des Wirksamwerdens der Änderung zu kündigen, ohne dass dem Auftraggeber hieraus Schadensersatzansprüche entstehen. Bereits im Voraus gezahlte Entgelte für Zeiträume nach Vertragsende werden zeitanteilig erstattet.

(5) Eine Verarbeitung von Auftragsdaten in einem Drittland außerhalb der EU/des EWR erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (insbesondere Angemessenheitsbeschluss der EU-Kommission oder Standardvertragsklauseln). Der jeweilige Übermittlungsmechanismus ist in Anlage 3 ausgewiesen.

(6) Nicht als Subauftragsverhältnisse gelten Nebenleistungen Dritter ohne Zugriff auf Auftragsdaten (z. B. Telekommunikationsleistungen, Wartung ohne Datenzugriff).

§ 9 Kontrollrechte des Auftraggebers

(1) Der Auftragnehmer stellt dem Auftraggeber alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind.

(2) Der Nachweis erfolgt vorrangig durch die Vorlage geeigneter Unterlagen, insbesondere der aktuellen Beschreibung der technischen und organisatorischen Maßnahmen (Anlage 2), Selbstauskünften, Prüfberichten oder Zertifizierungen der eingesetzten Subunternehmer (z. B. ISO 27001 der Rechenzentren).

(3) Soweit im Einzelfall darüber hinaus eine Überprüfung (Inspektion) erforderlich ist, erfolgt diese nach rechtzeitiger Anmeldung mit angemessener Vorlauffrist zu den üblichen Geschäftszeiten, ohne den Geschäftsbetrieb des Auftragnehmers unverhältnismäßig zu stören. Der Auftragnehmer kann eine solche Überprüfung von der Unterzeichnung einer Verschwiegenheitserklärung abhängig machen.

§ 10 Datenverarbeitung außerhalb der Weisung

Der Auftragnehmer verwendet die Auftragsdaten für keine anderen als die vertraglich vereinbarten Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt; hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind.

§ 11 Löschung und Rückgabe nach Auftragsende

(1) Nach Beendigung des Hauptvertrags stellt der Auftragnehmer dem Auftraggeber für einen Zeitraum von 30 Tagen einen Export der Auftragsdaten in einem gängigen, maschinenlesbaren Format zur Verfügung (vgl. § 10 Abs. 4 der AGB).

(2) Nach Ablauf dieser Frist löscht der Auftragnehmer sämtliche Auftragsdaten einschließlich vorhandener Sicherungskopien datenschutzgerecht, soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Daten, die gesetzlichen Aufbewahrungspflichten unterliegen, werden für die weitere Verarbeitung gesperrt und nach Ablauf der Aufbewahrungsfrist gelöscht.

(3) Auf Verlangen bestätigt der Auftragnehmer die Löschung in Textform.

§ 12 Haftung

Für die Haftung der Parteien gelten Art. 82 DSGVO sowie die Haftungsregelungen des Hauptvertrags.

§ 13 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen hinsichtlich des Datenschutzes die Regelungen dieses Vertrags vor.

(2) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Der Auftragnehmer kann diesen Vertrag entsprechend § 14 der AGB mit Wirkung für die Zukunft anpassen, insbesondere bei Änderungen der Rechtslage oder der eingesetzten Subunternehmer (§ 8 Abs. 3).

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragnehmers, sofern der Auftraggeber Kaufmann ist.

(4) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1 — Gegenstand der Verarbeitung

1. Art und Zweck der Verarbeitung

Bereitstellung und Betrieb der SaaS-Plattform „Complianty" zur Dokumentation und zum Monitoring von Datenschutz-Anforderungen für vom Auftraggeber betreute Websites, insbesondere:

  • Speicherung und Verwaltung von Mandanten- und Website-Daten des Auftraggebers
  • automatisierte technische Prüfung der hinterlegten Websites (Scans, Cookie-Banner-Audits, Impressums-Prüfungen) einschließlich Speicherung der Prüfergebnisse
  • Erstellung und Verwaltung von Verarbeitungsverzeichnissen, Datenschutzerklärungs-Entwürfen, AVV-Übersichten und Schulungsnachweisen
  • Speicherung vom Auftraggeber hochgeladener Dateien (z. B. AVV-Dokumente)
  • Bereitstellung von Lesezugriffs-Links (Share-Links) für Endkunden des Auftraggebers
  • Versand system- und auftragsbezogener E-Mail-Benachrichtigungen (z. B. Fristerinnerungen)

2. Arten personenbezogener Daten

  • Firmen- und Kontaktdaten der Mandanten des Auftraggebers (Name, Ansprechpartner, Anschrift, E-Mail)
  • Namen von Beschäftigten der Mandanten samt Schulungsdaten (Schulungsnachweise, ausgenommen besondere Kategorien nach Art. 9 DSGVO)
  • Website-URLs und technische Prüfdaten der hinterlegten Websites (erkannte Dienste, Cookies, Netzwerk-Anfragen, Screenshots); diese können im Einzelfall personenbezogene Daten enthalten
  • Inhalte der erzeugten Dokumente (Verarbeitungsverzeichnisse, Datenschutzerklärungs-Entwürfe), z. B. Namen von Verantwortlichen oder Datenschutzbeauftragten
  • Inhalte hochgeladener Dateien (z. B. unterzeichnete AVV-Verträge)
  • Kontaktdaten potenzieller Kunden des Auftraggebers (Akquise-Funktion: Name, E-Mail, Firma)
  • Zugriffsdaten beim Aufruf von Share-Links (pseudonymisierte/gehashte IP-Adresse, Browser- und Gerätetyp)

3. Kategorien betroffener Personen

  • Beschäftigte, Inhaber und Ansprechpartner der Mandanten (Endkunden) des Auftraggebers
  • Beschäftigte des Auftraggebers, soweit ihre Daten in Auftragsinhalten erscheinen
  • Interessenten/Leads des Auftraggebers (Akquise-Funktion)
  • Besucher von Share-Links
  • Besucher der geprüften Websites, soweit Prüfdaten ausnahmsweise personenbezogene Daten enthalten

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der vereinbarten Verarbeitung. Der Auftraggeber stellt sicher, dass solche Daten nicht in die Plattform eingestellt werden.

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

1. Zutritts- und Zugangskontrolle (Infrastruktur)

  • Betrieb der Plattform (Anwendung, Datenbank, Datei-Speicher) in Rechenzentren der Contabo GmbH in Deutschland (ISO-27001-zertifizierter Betreiber) mit physischen Zutrittskontrollen
  • Ergänzend betreibt der Auftragnehmer für die Durchführung automatisierter Website-Prüfungen (Scan-Worker) eigene, zutrittsgeschützte Server-Infrastruktur in Deutschland; die Anbindung an die Plattform erfolgt ausschließlich über verschlüsselte VPN-Verbindungen, eine dauerhafte Speicherung von Auftragsdaten findet dort nicht statt
  • Administrativer Zugriff auf Produktionssysteme ausschließlich durch den Auftragnehmer über verschlüsselte, schlüsselbasierte Verbindungen (SSH)
  • Interne Dienste (Datenbank, Cache) sind nicht öffentlich erreichbar; Zugriff nur innerhalb der isolierten Container-Umgebung, zusätzlich passwortgeschützt

2. Zugangs- und Zugriffskontrolle (Anwendung)

  • Authentifizierung mit individuellen Benutzerkonten; Passwörter werden ausschließlich gehasht gespeichert (kein Klartext)
  • Optionale Zwei-Faktor-Authentifizierung (TOTP)
  • Kurzlebige, signierte Sitzungs-Tokens (JWT) mit Refresh-Token-Rotation
  • Rollenbasiertes Berechtigungskonzept (Administrator, Mitarbeiter, Lesezugriff); Share-Links gewähren ausschließlich Lesezugriff und sind jederzeit widerrufbar
  • Schutz vor missbräuchlichen Zugriffen durch Rate-Limiting

3. Trennungskontrolle

  • Strikte logische Mandantentrennung: sämtliche Auftragsdaten sind auf Datenbankebene einem Kundenkonto (Tenant) zugeordnet; jeder Zugriff wird gegen diese Zuordnung geprüft

4. Weitergabekontrolle

  • Transportverschlüsselung (TLS) für sämtliche Verbindungen zwischen Nutzern und Plattform sowie zu eingesetzten Subunternehmern (einschließlich E-Mail-Versand)
  • IP-Adressen von Share-Link-Besuchern werden ausschließlich gehasht gespeichert

5. Eingabekontrolle

  • Protokollierung sicherheitsrelevanter Vorgänge (Audit-Log) mit Zeitstempel und Benutzerzuordnung
  • Compliance-Ereignisprotokoll je Mandant innerhalb der Plattform

6. Verfügbarkeitskontrolle

  • Regelmäßige automatisierte Datensicherungen
  • Containerisierte, voneinander isolierte Dienste; Überwachung des Systembetriebs
  • Malware-Prüfung sämtlicher Datei-Uploads (ClamAV)

7. Löschkonzept und Datenminimierung

  • Automatisierte Aufbewahrungs- und Löschroutinen für abgelaufene Daten
  • Export- und Löschfunktionen für das gesamte Kundenkonto (Selbstbedienung)
  • Speicherung von Prüfdaten nur im erforderlichen Umfang; URL-Parameter werden vor Speicherung redigiert

8. Auftragskontrolle

  • Sorgfältige Auswahl der Subunternehmer; Abschluss von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO mit allen Subunternehmern (Anlage 3)
  • Regelmäßige Überprüfung der Subunternehmer anhand von Zertifizierungen und Selbstauskünften

Anlage 3 — Genehmigte Subunternehmer

SubunternehmerAnschriftLeistungOrt der VerarbeitungÜbermittlungsmechanismus
Contabo GmbHAschauer Straße 32a, 81549 München, DeutschlandHosting der Plattform (Server, Datenbank, Datei-Speicher)Deutschland— (EU)
Heinlein Hosting GmbH (mailbox.org)Schwedter Straße 8/9b, 10119 Berlin, DeutschlandVersand von System- und Benachrichtigungs-E-MailsDeutschland— (EU)

Vom Auftragnehmer selbst betriebene Server-Infrastruktur (z. B. Scan-Worker, vgl. Anlage 2 Nr. 1) begründet kein Subauftragsverhältnis; die Verarbeitung erfolgt dort durch den Auftragnehmer selbst in Deutschland.

Hinweis: Die Zahlungsabwicklung über Stripe betrifft ausschließlich Vertrags- und Zahlungsdaten des Auftraggebers, die der Auftragnehmer als eigenständiger Verantwortlicher verarbeitet (vgl. § 2 Abs. 2); sie ist daher nicht Gegenstand dieser Anlage. Einzelheiten ergeben sich aus der Datenschutzerklärung.