DE·EN·FR Kontakt

Rechtliches · Stand 08. Mai 2026

Auftragsverarbeitungs­vereinbarung (AVV)

Mustervereinbarung gemäß Art. 28 DSGVO zwischen dem Kunden als Verantwortlichen und der arades GmbH als Auftragsverarbeiter — inklusive Beschreibung der Verarbeitung, technischer und organisatorischer Maßnahmen sowie Subunternehmer-Liste.

Hinweis: Diese AVV ist ein Mustertext und ersetzt keine anwaltliche Beratung. Vor produktivem Einsatz sollte eine Prüfung durch einen auf IT- und Datenschutzrecht spezialisierten Rechtsanwalt erfolgen, insbesondere im Hinblick auf die Anforderungen der DSGVO sowie branchenspezifische Anforderungen.

Vertragsparteien

[Vollständiger Name des Kunden]
[Anschrift]
[Land]
— nachfolgend „Verantwortlicher" oder „Auftraggeber" genannt —

und

arades GmbH
Lilistraße 6
63067 Offenbach am Main
Deutschland
— nachfolgend „Auftragsverarbeiter" oder „arades" genannt —

— zusammen die „Parteien" —

Präambel

Die Parteien haben einen oder mehrere Verträge über die Erbringung von IT-Dienstleistungen, die Bereitstellung von SaaS-Leistungen, den Wiederverkauf von Microsoft-Lizenzen und/oder die Erstellung von Individualsoftware abgeschlossen (nachfolgend „Hauptvertrag").

Im Rahmen des Hauptvertrages verarbeitet arades personenbezogene Daten im Auftrag des Verantwortlichen. Diese Auftragsverarbeitungsvereinbarung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO.

Bei Widersprüchen zwischen dem Hauptvertrag und dieser AVV gehen die Regelungen dieser AVV in Bezug auf die Verarbeitung personenbezogener Daten vor.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung personenbezogener Daten ist die Erbringung der im Hauptvertrag und in den zugehörigen Leistungsbeschreibungen, Statements of Work oder Auftragsbestätigungen vereinbarten Leistungen.

(2) Die Einzelheiten zu Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen sind in Anlage 1 zu dieser AVV beschrieben.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages, soweit sich aus den Bestimmungen dieser AVV keine darüber hinausgehenden Verpflichtungen ergeben.

§ 2 Weisungsbefugnis des Verantwortlichen

(1) arades verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Übermittlungen personenbezogener Daten in Drittländer oder an internationale Organisationen, sofern arades nicht durch das Recht der Union oder der Mitgliedstaaten, dem arades unterliegt, hierzu verpflichtet ist.

(2) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Weisungen werden grundsätzlich von den vom Verantwortlichen benannten Ansprechpartnern erteilt und entgegengenommen.

(3) Ist arades der Auffassung, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, hat arades den Verantwortlichen unverzüglich darauf hinzuweisen. arades ist berechtigt, die Durchführung der entsprechenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.

§ 3 Pflichten des Auftragsverarbeiters

(1) arades verarbeitet personenbezogene Daten ausschließlich im Rahmen der Vereinbarungen und nach Weisung des Verantwortlichen. Verarbeitet arades personenbezogene Daten zu eigenen Zwecken, gilt arades insoweit als eigener Verantwortlicher; dies bedarf einer gesonderten rechtlichen Grundlage.

(2) arades verpflichtet die zur Verarbeitung der personenbezogenen Daten befugten Personen schriftlich auf Vertraulichkeit oder stellt sicher, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.

(3) arades ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 2 zu dieser AVV beschrieben. arades ist berechtigt, diese Maßnahmen weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind dem Verantwortlichen mitzuteilen.

(4) arades unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheit, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(5) arades unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Kapitel III der DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch). Wendet sich eine betroffene Person unmittelbar an arades, leitet arades dieses Ersuchen unverzüglich an den Verantwortlichen weiter.

(6) arades hat einen Datenschutzbeauftragten benannt, sofern eine entsprechende gesetzliche Verpflichtung besteht. Die Kontaktdaten werden dem Verantwortlichen auf Anfrage mitgeteilt.

(7) arades hat die nach Art. 30 Abs. 2 DSGVO erforderlichen Verzeichnisse aller Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen.

§ 4 Meldung von Datenschutzverletzungen

(1) arades informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO.

(2) Die Meldung soll, soweit zum Zeitpunkt der Meldung verfügbar, mindestens enthalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
  • eine Beschreibung der von arades ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung möglicher nachteiliger Folgen.

(3) Soweit die erforderlichen Informationen nicht zeitgleich bereitgestellt werden können, werden sie ohne unangemessene weitere Verzögerung schrittweise nachgereicht.

§ 5 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt arades hiermit eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 zu dieser AVV aufgeführt.

(2) arades informiert den Verantwortlichen vorab in Textform über jede beabsichtigte Hinzuziehung weiterer oder Ersetzung bestehender Unterauftragsverarbeiter. Der Verantwortliche kann der Hinzuziehung oder Ersetzung innerhalb von 14 Tagen nach Zugang der Mitteilung aus berechtigten Gründen in Textform widersprechen.

(3) Im Falle eines berechtigten Widerspruchs werden die Parteien gemeinsam eine einvernehmliche Lösung suchen. Kommt eine solche nicht zustande, ist arades berechtigt, den vom Widerspruch betroffenen Teil des Hauptvertrages mit angemessener Frist zu kündigen.

(4) arades schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der diesem im Wesentlichen dieselben Datenschutzpflichten auferlegt, die in dieser AVV festgelegt sind, insbesondere geeignete Garantien hinsichtlich der technischen und organisatorischen Maßnahmen.

(5) Nicht als Unterauftragsverarbeiter im Sinne dieser AVV gelten Nebenleistungen wie Telekommunikationsdienste, Postdienste, Transportdienste, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen.

§ 6 Drittlandtransfer

(1) Soweit personenbezogene Daten in ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittland) übermittelt oder dort verarbeitet werden, stellt arades sicher, dass dies nur auf Grundlage der Voraussetzungen der Art. 44 ff. DSGVO erfolgt, insbesondere durch:

  • einen Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO; oder
  • geeignete Garantien gemäß Art. 46 DSGVO, insbesondere die EU-Standardvertragsklauseln in der jeweils aktuellen Fassung; oder
  • verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO.

(2) Bei Verarbeitungen durch Microsoft (z. B. Microsoft 365, Dynamics 365, Azure) im Rahmen der CSP-Leistungen oder bei der Nutzung von Microsoft-Cloud-Diensten zur Erbringung der vertraglichen Leistungen gelten die jeweiligen Microsoft-Datenschutzbestimmungen, insbesondere der Microsoft Products and Services Data Protection Addendum (DPA) sowie die EU-Standardvertragsklauseln, die Microsoft als integraler Bestandteil seiner Verträge anbietet.

§ 7 Kontrollrechte des Verantwortlichen

(1) arades stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind.

(2) Der Verantwortliche ist berechtigt, sich von der Einhaltung der Pflichten nach Art. 28 DSGVO und dieser AVV zu überzeugen. Dies kann insbesondere durch Vorlage geeigneter Nachweise erfolgen, etwa:

  • Vorlage aktueller Zertifizierungen oder Testate (z. B. ISO/IEC 27001, BSI C5, SOC 2);
  • Vorlage einer Beschreibung der getroffenen technischen und organisatorischen Maßnahmen gemäß Anlage 2;
  • Vorlage von Auditberichten anerkannter Prüfer.

(3) Soweit die in Absatz 2 genannten Nachweise im Einzelfall nicht ausreichen, ist der Verantwortliche berechtigt, nach vorheriger Anmeldung mit angemessener Frist (in der Regel mindestens 30 Kalendertage) und während der üblichen Geschäftszeiten Vor-Ort-Prüfungen durchzuführen oder durch einen vom Verantwortlichen benannten unabhängigen Prüfer durchführen zu lassen, der nicht in einem Wettbewerbsverhältnis zu arades steht und der zuvor zur Vertraulichkeit verpflichtet wurde.

(4) Vor-Ort-Prüfungen sind so durchzuführen, dass der Geschäftsbetrieb von arades nicht unverhältnismäßig beeinträchtigt wird. Sie sollen in der Regel nicht häufiger als einmal pro Kalenderjahr stattfinden, sofern kein konkreter Anlass besteht.

(5) Der mit Kontrollen verbundene Aufwand ist vom Verantwortlichen zu vergüten, sofern arades dem Verantwortlichen geeignete Nachweise nach Absatz 2 zur Verfügung gestellt hat. arades wird dem Verantwortlichen den Aufwand vorab transparent darstellen.

§ 8 Beendigung, Löschung und Rückgabe von Daten

(1) Nach Beendigung der Erbringung der Verarbeitungsleistungen wird arades nach Wahl des Verantwortlichen alle personenbezogenen Daten entweder löschen oder zurückgeben und vorhandene Kopien löschen, sofern nicht nach dem Recht der Europäischen Union oder ihrer Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(2) Eine entsprechende Wahlerklärung des Verantwortlichen hat innerhalb von 30 Kalendertagen nach Beendigung des Hauptvertrages in Textform zu erfolgen. Erfolgt innerhalb dieser Frist keine Wahlerklärung, ist arades berechtigt, die Daten zu löschen.

(3) Für die Rückgabe der Daten in einem strukturierten, gängigen und maschinenlesbaren Format kann arades eine angemessene Vergütung nach Aufwand verlangen, sofern dies einen Mehraufwand über die Standardexportfunktionen hinaus erfordert.

(4) Die Löschung umfasst auch sämtliche Sicherheitskopien, soweit dies technisch möglich und mit den allgemeinen Aufbewahrungsfristen vereinbar ist. Daten in Backups werden im Rahmen des regulären Backup-Zyklus überschrieben.

(5) arades bestätigt dem Verantwortlichen die erfolgte Löschung auf Anforderung in Textform.

§ 9 Haftung

(1) Im Innenverhältnis zwischen den Parteien gelten für die Haftung wegen Datenschutzverstößen die Regelungen des Hauptvertrages, insbesondere die dort vereinbarten Haftungsbeschränkungen, soweit dies mit zwingenden datenschutzrechtlichen Bestimmungen vereinbar ist.

(2) Im Außenverhältnis gegenüber betroffenen Personen gilt Art. 82 DSGVO. Die Parteien verpflichten sich, sich gegenseitig zu unterstützen, soweit eine Partei aufgrund eines Verstoßes der anderen Partei in Anspruch genommen wird, und einen entsprechenden internen Ausgleich zu schaffen.

§ 10 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieser AVV unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Anstelle der unwirksamen Bestimmung gilt diejenige wirksame Regelung als vereinbart, die dem Zweck der unwirksamen Bestimmung am nächsten kommt.

(2) Änderungen und Ergänzungen dieser AVV einschließlich ihrer Anlagen bedürfen der Textform.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Frankfurt am Main, soweit der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

(4) Diese AVV tritt mit Unterzeichnung durch beide Parteien in Kraft und endet automatisch mit Beendigung des Hauptvertrages, soweit nicht in dieser AVV oder im Hauptvertrag etwas anderes bestimmt ist. Die in dieser AVV geregelten Pflichten bestehen über das Vertragsende hinaus, soweit dies aus der Natur der Sache geboten ist.

Unterschriften

Für den Verantwortlichen:

_______________________________________
Ort, Datum

_______________________________________
Name, Funktion

_______________________________________
Unterschrift

Für arades GmbH:

_______________________________________
Ort, Datum

_______________________________________
Name, Funktion

_______________________________________
Unterschrift

Anlage 1: Beschreibung der Verarbeitung

1. Gegenstand und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Erbringung der im Hauptvertrag vereinbarten Leistungen, insbesondere:

  • Beratung, Konfiguration, Implementierung, Anpassung und Support von Microsoft Dynamics 365, Microsoft Power Platform und Microsoft 365;
  • Bereitstellung und Betrieb eigener SaaS-Lösungen von arades;
  • Vermittlung und Wiederverkauf von Microsoft-Subskriptionen im Rahmen des Microsoft Cloud Solution Provider Programms;
  • Erstellung und Anpassung individueller Softwarelösungen;
  • Wartung und Fehlerbehebung an Systemen des Verantwortlichen.

2. Art der personenbezogenen Daten

Im Rahmen der Verarbeitung können — je nach konkretem Auftrag und Systemumgebung des Verantwortlichen — insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Stammdaten (Name, Vorname, Anrede, Titel, Geburtsdatum);
  • Kontaktdaten (Adresse, E-Mail-Adresse, Telefon-/Mobilnummer);
  • Berufliche Daten (Arbeitgeber, Position, Abteilung, Personalnummer);
  • Vertrags- und Vertragsabrechnungsdaten;
  • Kommunikationsdaten (E-Mail-Inhalte, Notizen, Gesprächsprotokolle in CRM-Systemen);
  • Nutzungsdaten (Login-Daten, IP-Adressen, Logfiles, Aktivitätsprotokolle);
  • Sonstige in den Systemen des Verantwortlichen gespeicherte personenbezogene Daten, auf die arades im Rahmen der Leistungserbringung Zugriff erhält.

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist nicht regelmäßig vorgesehen. Sollten solche Daten Bestandteil der Systemumgebung des Verantwortlichen sein, ist dies dem Verantwortlichen bekannt; arades verarbeitet solche Daten nur insoweit, als es zur Erbringung der vertraglichen Leistungen unvermeidbar ist.

3. Kategorien betroffener Personen

Von der Verarbeitung können folgende Kategorien betroffener Personen erfasst sein:

  • Mitarbeiter, Beschäftigte und Geschäftsführung des Verantwortlichen;
  • Kunden, Interessenten und Geschäftspartner des Verantwortlichen;
  • Lieferanten und Dienstleister des Verantwortlichen;
  • Sonstige Personen, deren Daten in den Systemen des Verantwortlichen gespeichert sind.

4. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Hauptvertrages. Nach Beendigung erfolgt die Behandlung der Daten gemäß § 8 dieser AVV.

Anlage 2: Technische und organisatorische Maßnahmen (TOM)

arades trifft die nachfolgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Soweit Verarbeitungen in Cloud-Diensten Dritter (insbesondere Microsoft Azure, Microsoft 365) erfolgen, ergänzen die TOM dieser Anbieter die Maßnahmen von arades.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

  • Geschäftsräume sind durch elektronische Zutrittssysteme bzw. Schließanlagen gesichert;
  • Zutritt zu Serverräumen ist auf einen begrenzten Personenkreis beschränkt;
  • Besucher werden empfangen, dokumentiert und in sensiblen Bereichen begleitet.

Zugangskontrolle

  • Authentifizierung an IT-Systemen mittels Benutzername und sicherem Passwort;
  • Multi-Faktor-Authentifizierung (MFA) für administrative Zugänge und Cloud-Dienste;
  • Passwort-Richtlinien (Mindestlänge, Komplexität, regelmäßiger Wechsel);
  • Automatische Bildschirmsperre nach Inaktivität;
  • Verschlüsselung der Festplatten von Endgeräten.

Zugriffskontrolle

  • Rollen- und rechtebasiertes Berechtigungskonzept (Need-to-know-Prinzip);
  • Trennung von Test-, Entwicklungs- und Produktivumgebungen;
  • Protokollierung administrativer Zugriffe;
  • Regelmäßige Überprüfung der Berechtigungen.

Trennungskontrolle

  • Logische Trennung der Daten verschiedener Mandanten/Kunden;
  • Mandantenfähige Systemarchitektur bei SaaS-Lösungen;
  • Trennung von Produktiv- und Testdaten.

Pseudonymisierung

  • Pseudonymisierung wird, soweit für die Erbringung der Leistung möglich und erforderlich, eingesetzt (z. B. bei Tests mit anonymisierten oder pseudonymisierten Datensätzen).

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

  • Verschlüsselte Datenübertragung (TLS/SSL) bei Übermittlung über öffentliche Netze;
  • Sichere Fernzugriffe ausschließlich über VPN oder vergleichbare Sicherheitsmechanismen;
  • Keine Übermittlung personenbezogener Daten über unverschlüsselte Kanäle;
  • Dokumentation von Datentransfers.

Eingabekontrolle

  • Protokollierung von Eingaben, Änderungen und Löschungen in produktiven Systemen, soweit technisch sinnvoll und vom System unterstützt;
  • Nachvollziehbarkeit administrativer Aktivitäten;
  • Vier-Augen-Prinzip bei besonders kritischen Änderungen.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Regelmäßige Datensicherung (Backups) der eigenen Systeme von arades;
  • Nutzung professioneller Cloud-Infrastrukturen (insbesondere Microsoft Azure) mit georedundanter Datenhaltung;
  • Schutz vor Schadsoftware durch aktuelle Anti-Malware-Lösungen;
  • Firewall- und Netzwerksicherheitsmaßnahmen;
  • Unterbrechungsfreie Stromversorgung in kritischen Bereichen über Cloud-Provider;
  • Notfall- und Wiederanlaufpläne.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

  • Datenschutzmanagement: Schulung der Mitarbeiter zu Datenschutz und Informationssicherheit;
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis und die Vertraulichkeit;
  • Incident-Response-Prozess: Etablierter Prozess zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen;
  • Regelmäßige Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen;
  • Durchführung von Datenschutz-Folgenabschätzungen, soweit erforderlich (Art. 35 DSGVO).

5. Auftragskontrolle

  • Verträge mit Unterauftragsverarbeitern enthalten Datenschutz-Klauseln gemäß Art. 28 DSGVO;
  • Sorgfältige Auswahl von Unterauftragsverarbeitern unter Berücksichtigung der Datenschutzkonformität;
  • Regelmäßige Überprüfung der bei den Unterauftragsverarbeitern getroffenen Schutzmaßnahmen anhand vorgelegter Nachweise.

Hinweis: Diese Maßnahmenbeschreibung ist exemplarisch und sollte in der finalen Fassung an die tatsächlich bei arades implementierten Maßnahmen angepasst werden. Soweit ein ISMS-Zertifikat (z. B. ISO 27001) oder ein vergleichbares Testat vorliegt, kann hierauf zusätzlich verwiesen werden.

Anlage 3: Unterauftragsverarbeiter

Zum Zeitpunkt des Vertragsschlusses werden folgende Unterauftragsverarbeiter eingesetzt:

[Diese Liste muss vor Vertragsabschluss vervollständigt und an die tatsächlich eingesetzten Unterauftragsverarbeiter angepasst werden. Bei Microsoft-Diensten ist auf den jeweils aktuellen Stand der Microsoft-Datenverarbeitungsvereinbarung (DPA) und der EU Data Boundary zu verweisen.]

Stand: 08. Mai 2026 · Verwandte Dokumente: Datenschutzerklärung · AGB · Impressum