Auftragsverarbeitungsvertrag
—Präambel
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch externe Dienstleister (Auftragsverarbeiter) im Auftrag der VerMaKom GmbH (Verantwortlicher) gemäß Art. 28 DSGVO. Er gilt als Rahmenvereinbarung für alle Auftragsverarbeitungsverhältnisse, sofern nicht im Einzelfall ein gesonderter AVV mit dem jeweiligen Dienstleister abgeschlossen wird. Die jeweils eingesetzten Auftragsverarbeiter sowie die von diesen verarbeiteten Datenkategorien sind in § 10 und Anlage 2 dokumentiert.
—Vertragsparteien
hallo@vermakom.de · +49 (0) 176 999 58 345
Vertreten durch: Bernd Brocher (Geschäftsführer)
§ 1Gegenstand und Dauer des Vertrags
- 1.Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen gemäß den Bestimmungen dieses Vertrages.
- 2.Gegenstand ist die Bereitstellung und der Betrieb digitaler Dienste im Bereich internationales Nachlassmanagement. Art, Umfang und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien betroffener Personen ergeben sich aus dem jeweiligen Hauptvertrag.
- 3.Die Laufzeit dieses AVV entspricht der Laufzeit des jeweiligen Hauptvertrages.
§ 2Art, Zweck und Umfang der Verarbeitung
- Erhebung, Erfassung und Speicherung
- Strukturierung, Ordnung und Abfrage
- Übermittlung auf Weisung des Auftraggebers
- Löschung und Vernichtung nach Vertragsende
- Verwaltung von Nachlassdaten und Kundendokumenten
- Kommunikation und Betreuung im Rahmen der Dienstleistung
- Automatisierte Prozesse zur Vertragserfüllung
- Stammdaten: Name, Anschrift, Geburtsdatum, Nationalität
- Kontaktdaten: E-Mail, Telefonnummer
- Vermögensdaten: Immobilien, Konten, Versicherungen, Beteiligungen
- Dokumente: Testamente, Vollmachten, Vertragsunterlagen
§ 2aBesondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
- 1.Im Rahmen der Nachlassplanung und Vorsorgedokumentation können besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden, insbesondere Gesundheitsdaten (im Zusammenhang mit Patientenverfügungen und Betreuungsverfügungen) sowie Daten über religiöse oder weltanschauliche Überzeugungen.
- 2.Die Verarbeitung dieser Daten erfolgt ausschließlich auf ausdrückliche Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a DSGVO, die vor Beginn der Verarbeitung gesondert eingeholt und dokumentiert wird.
- 3.Für besondere Datenkategorien gelten erhöhte technische und organisatorische Schutzmaßnahmen. Der Zugriff ist auf das absolut notwendige Minimum beschränkt. Eine Weitergabe an Unterauftragsverarbeiter erfolgt nur, soweit dies zur Vertragserfüllung unbedingt erforderlich ist und der jeweilige Unterauftragsverarbeiter seinerseits geeignete Schutzmaßnahmen für Art. 9-Daten nachgewiesen hat.
§ 3Weisungsrecht des Auftraggebers
- 1.Der Verarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.
- 2.Weisungen werden schriftlich oder per E-Mail erteilt. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
- 3.Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere anwendbare Datenschutzvorschriften verstößt.
§ 4Pflichten des Verarbeiters
- 1.Der Verarbeiter wahrt Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO) und stellt sicher, dass alle zur Verarbeitung befugten Personen schriftlich zur Vertraulichkeit verpflichtet wurden. Die entsprechenden Verpflichtungserklärungen werden dokumentiert und sind auf Anfrage des Auftraggebers vorzulegen.
- 2.Der Verarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, insbesondere: Pseudonymisierung und Verschlüsselung personenbezogener Daten; Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme; Verfahren zur regelmäßigen Überprüfung und Evaluierung der Wirksamkeit der Maßnahmen; Prozesse zur Wiederherstellung der Verfügbarkeit nach einem Zwischenfall. Die aktuellen TOMs sind in Anlage 1 dokumentiert.
- 3.Bei Betroffenenanträgen (Art. 15–22 DSGVO) werden Anfragen unverzüglich, spätestens innerhalb von 48 Stunden, an den Auftraggeber weitergeleitet.
- 4.Der Auftraggeber ist berechtigt, die Einhaltung der Datenschutzvorschriften und der Bestimmungen dieses Vertrages beim Verarbeiter zu überprüfen. Dies kann durch Anforderung von Nachweisen, Fragebögen oder — nach angemessener Vorankündigung von mindestens 5 Werktagen — durch Audits und Inspektionen erfolgen (Art. 28 Abs. 3 lit. h DSGVO). Die Kosten trägt der Auftraggeber, sofern keine Pflichtverletzung des Verarbeiters vorliegt.
§ 5Betroffenenrechte
- 1.Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anträgen betroffener Personen auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO), soweit diese Verpflichtungen für den Auftragsverarbeiter erreichbar sind.
- 2.Eingehende Betroffenenanfragen, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich und ohne inhaltliche Bearbeitung an den Verantwortlichen weitergeleitet.
§ 6Einsatz von Unterauftragsverarbeitern
- 1.Der Verarbeiter ist berechtigt, Unterauftragsverarbeiter einzusetzen. Eine Allgemeingenehmigung für bestimmte Kategorien von Unterauftragsverarbeitern kann erteilt werden. Die aktuell eingesetzten und genehmigten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.
- 2.Dem Verantwortlichen bekannte und genehmigte Unterauftragsverarbeiter der eingesetzten Hauptdienstleister (insbesondere Supabase, GoHighLevel, Make) sind in den jeweiligen Datenschutzinformationen dieser Anbieter aufgeführt.
- 3.Änderungen der eingesetzten Unterauftragsverarbeiter werden mit mindestens 14 Tagen Vorlauf angekündigt. Der Auftraggeber hat das Recht, gegen einen neuen Unterauftragsverarbeiter aus sachlichen Gründen Einspruch zu erheben.
§ 7Datenpannen und Meldepflichten
- 1.Verletzungen des Schutzes personenbezogener Daten werden dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, gemeldet.
- 2.Die Meldung enthält alle Informationen, die der Verantwortliche zur Erfüllung seiner Meldepflicht gemäß Art. 33 DSGVO benötigt: Art der Verletzung, Kategorien und Anzahl betroffener Personen, wahrscheinliche Folgen, ergriffene und vorgeschlagene Abhilfemaßnahmen.
§ 8Verarbeitung in Drittländern
Eine Datenverarbeitung außerhalb der EU/des EWR findet nur statt, soweit erforderlich und ein angemessenes Datenschutzniveau gewährleistet ist. Unterauftragsverarbeiter mit Drittlandtransfer sind in Anlage 2 aufgeführt. Die Absicherung erfolgt über das EU-US Data Privacy Framework oder Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
§ 9Löschung und Rückgabe von Daten
- 1.Nach Beendigung löscht der Verarbeiter alle personenbezogenen Daten oder gibt sie auf Wahl des Auftraggebers zurück, sofern nicht eine Verpflichtung nach Unionsrecht oder nationalem Recht zur weiteren Speicherung besteht.
- 2.Die Rückgabe erfolgt in einem gängigen, maschinenlesbaren Format (CSV, PDF, JSON).
- 3.Der Verarbeiter bestätigt die vollständige Löschung schriftlich innerhalb von 14 Tagen nach Vertragsbeendigung.
§ 10Verzeichnis der eingesetzten Auftragsverarbeiter
VerMaKom setzt folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein (Stand: Juni 2026). Mit jedem der genannten Dienstleister wurde ein AVV nach Art. 28 DSGVO geschlossen — entweder als gesonderter Vertrag oder über die jeweiligen Standardbedingungen des Anbieters. Soweit Daten in Drittländer übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln oder anderer geeigneter Garantien gemäß Art. 46 DSGVO.
- Supabase Inc. – Plattform-Hosting, Rechenzentrum Frankfurt/Main (EU)
- HighLevel Inc. (GoHighLevel) – CRM, E-Mail-Marketing, Automatisierung
- Microsoft Corporation (MS365) – E-Mail-Kommunikation
- Stripe Payments Europe Ltd. – Zahlungsabwicklung
- PayPal (Europe) S.à r.l. – Zahlungsabwicklung
- Anthropic PBC (Claude) – KI-Textgenerierung und Dokumentenerstellung
- Celonis SE / Make – Prozessautomatisierung und Datenflüsse
§ 11Pflichten des Auftraggebers
- 1.Der Auftraggeber ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung (Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO).
- 2.Der Auftraggeber stellt sicher, dass er über eine geeignete Rechtsgrundlage verfügt und informiert betroffene Personen gemäß Art. 13/14 DSGVO.
§ 12Haftung
Die Haftung richtet sich nach dem Hauptvertrag sowie Art. 82 DSGVO. Der Verarbeiter haftet für Schäden, die durch weisungswidrige Verarbeitung oder Verstöße gegen diesen Vertrag entstehen.
§ 13Laufzeit und Beendigung
- 1.Dieser Vertrag tritt mit Unterzeichnung in Kraft und läuft parallel zum Hauptvertrag.
- 2.Nach Vertragsbeendigung gelten die Pflichten aus § 9 (Löschung/Rückgabe) sowie § 4 Abs. 1 (Vertraulichkeit einschließlich der Verpflichtungserklärungen) fort.
§ 14Schlussbestimmungen
- 1.Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.
- 2.Es gilt deutsches Recht. Gerichtsstand: Mönchengladbach.
—Unterschriften
Technische und organisatorische Maßnahmen (TOMs)
gemäß Art. 32 DSGVO · Stand: Juni 2026
Zutrittskontrolle
- Serverinfrastruktur in ISO-27001-zertifizierten Rechenzentren
- Hosting bei ALL-INKL.COM (Deutschland)
Zugangskontrolle
- Starke Passwortrichtlinien (mind. 12 Zeichen)
- Zwei-Faktor-Authentifizierung (2FA) für alle Admin-Zugänge
Zugriffskontrolle
- Rollenbasiertes Berechtigungskonzept (Least Privilege)
- Sofortige Deaktivierung bei Ausscheiden
Weitergabekontrolle
- Verschlüsselte Datenübertragung (TLS 1.2+)
- AVV mit allen Unterauftragsverarbeitern
Verfügbarkeitskontrolle
- Regelmäßige automatisierte Datensicherungen (täglich)
- Redundante Systeme und Failover-Mechanismen
Verschlüsselung
- Verschlüsselung sensibler Datenfelder (AES-256)
- Hashing von Passwörtern (bcrypt / Argon2)
Genehmigte Unterauftragsverarbeiter
Stand: Juni 2026
| Anbieter | Sitz | Zweck | Absicherung |
|---|---|---|---|
| ALL-INKL.COM | Deutschland (EU) | Webhosting | Kein Transfer – EU |
| Supabase Inc. | EU (Frankfurt/AWS) | Datenbank, Plattform-Backend | Kein Transfer – EU |
| HighLevel Inc. (GoHighLevel) | USA | CRM, Funnel, E-Mail-Marketing | DPF + SCCs |
| Microsoft Corporation (MS365) | USA | E-Mail-Kommunikation | DPF + SCCs |
| Anthropic PBC (Claude) | USA | KI-Textgenerierung, Dokumentenerstellung | SCCs · AVV |
| Celonis SE / Make | EU/USA | Prozessautomatisierung | SCCs · AVV |
| Meta Platforms Ireland | Irland (EU) | Werbeanzeigen, Pixel | DPF + SCCs |
| Google Ireland Ltd. | Irland (EU) | Analytics, Ads | DPF + SCCs |
| Stripe Payments Europe | Irland (EU) | Zahlungsabwicklung | Kein Transfer – EU |
| PayPal (Europe) S.à r.l. | Luxemburg (EU) | Zahlungsabwicklung | Kein Transfer – EU |