Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Kre8ive Evolution
Inhaber: Stephan Grundmeyer
Kastellstr. 34, 46147 Oberhausen
E-Mail: info@kre8ive-evolution.de
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen dem Auftraggeber (nachfolgend „Verantwortlicher") und der Kre8ive Evolution, Inhaber Stephan Grundmeyer (nachfolgend „Auftragnehmer") geschlossen und regelt die Verarbeitung personenbezogener Daten im Rahmen der bestehenden Leistungsbeziehung.
§ 1 Gegenstand, Dauer, Art und Zweck der Verarbeitung
(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Verantwortlichen im Rahmen folgender Leistungen:
- Bereitstellung und Betrieb von SaaS-Plattformen (z. B. NexDeck)
- Automatisierung von Geschäftsprozessen via n8n-Workflows
- KI-Services (Textgenerierung, Bilderzeugung, Sprachverarbeitung)
- Agenturleistungen (Webdesign, Marketing, Consulting)
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit der zugrunde liegenden Leistungsbeziehung und endet mit deren vollständiger Beendigung, sofern sich aus diesem AVV keine darüber hinausgehenden Pflichten ergeben.
(3) Zweck der Datenverarbeitung ist:
- Verwaltung von Kunden- und Projektdaten innerhalb der SaaS-Plattformen
- Dokumentenerstellung und -verwaltung (Angebote, Rechnungen, Berichte)
- Verarbeitung von Betriebsdaten zur Prozessautomatisierung
- Verarbeitung von Audio- und Bilddaten im Rahmen von KI-Services
- Anbindung und Synchronisation mit Drittsystemen (CRM, Buchhaltung, E-Mail)
§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen
(1) Die Verarbeitung umfasst folgende Arten personenbezogener Daten:
- Stammdaten: Name, Anschrift, Kontaktdaten (E-Mail, Telefon), Firmenname
- Vertragsdaten: Vertragsgegenstand, Laufzeit, Rechnungs- und Zahlungsinformationen
- Mitarbeiterdaten: Name, E-Mail-Adresse, Rolle, Zugangsdaten (gehashed)
- Inhaltsdaten: Projektdaten, Dokumente, Notizen, hochgeladene Dateien, Audio- und Bilddaten
- Nutzungsdaten: Login-Zeiten, IP-Adressen, Geräteinformationen, Interaktionsprotokolle
(2) Kategorien betroffener Personen:
- Kunden und deren Ansprechpartner des Verantwortlichen
- Mitarbeiter und freie Mitarbeiter des Verantwortlichen
- Lieferanten und Geschäftspartner des Verantwortlichen
§ 3 Technische und organisatorische Maßnahmen (TOMs)
(1) Der Auftragnehmer hat die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung umzusetzen und während der Dauer der Verarbeitung aufrechtzuerhalten. Diese Maßnahmen entsprechen dem Stand der Technik gemäß Art. 32 DSGVO.
(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer ist berechtigt, alternative adäquate Maßnahmen umzusetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren und dem Verantwortlichen auf Anfrage mitzuteilen.
§ 4 Rechte und Pflichten des Auftraggebers (Verantwortlicher)
(1) Der Verantwortliche ist im Sinne des Art. 4 Nr. 7 DSGVO für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung, allein verantwortlich.
(2) Der Verantwortliche hat das Recht, dem Auftragnehmer jederzeit Weisungen bezüglich Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen sind in Textform (z. B. per E-Mail) zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Der Verantwortliche informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.
§ 5 Pflichten des Auftragnehmers
(1) Weisungsgebundenheit: Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der EU oder der Mitgliedstaaten zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).
(2) Vertraulichkeit: Der Auftragnehmer gewährleistet, dass alle mit der Verarbeitung personenbezogener Daten befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) Unterstützung bei Betroffenenrechten: Der Auftragnehmer unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen gemäß Kapitel III der DSGVO (Art. 15–22 DSGVO).
(4) Meldepflicht bei Datenschutzverletzungen: Der Auftragnehmer unterrichtet den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält mindestens:
- Art der Verletzung und betroffene Datenkategorien
- Ungefähre Anzahl der betroffenen Personen und Datensätze
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen
(5) Der Auftragnehmer unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
§ 6 Unterauftragnehmer (Unterauftragsverhältnisse)
(1) Der Verantwortliche erteilt hiermit seine allgemeine schriftliche Genehmigung zum Einsatz der nachfolgend aufgeführten Unterauftragnehmer. Der Auftragnehmer stellt sicher, dass mit jedem Unterauftragnehmer ein Vertrag geschlossen wird, der den Anforderungen des Art. 28 Abs. 4 DSGVO entspricht.
(2) Genehmigte Unterauftragnehmer zum Zeitpunkt des Vertragsschlusses:
| Unterauftragnehmer | Leistung | Standort / Garantie |
|---|---|---|
| Amazon Web Services EMEA SARL | Cloud-Infrastruktur | EU (Frankfurt / Stockholm) |
| HubSpot, Inc. | CRM & Support | USA (DPF-zertifiziert) |
| Google Ireland Limited | E-Mail & Kalender | EU / USA (DPF-zertifiziert) |
| Haufe-Lexware GmbH & Co. KG | Buchhaltung | Deutschland |
| Stripe, Inc. | Zahlungsabwicklung | USA / EU |
| Microsoft Ireland Operations Ltd. | KI-Services (Azure OpenAI) | EU |
| Hostinger International Ltd. | Web-Hosting & DNS | EU |
(3) Der Auftragnehmer informiert den Verantwortlichen vor jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Verantwortliche hat das Recht, innerhalb von 14 Tagen nach Zugang der Mitteilung Einspruch gegen die Änderung zu erheben. Der Einspruch ist in Textform zu erklären und muss sachlich begründet sein.
(4) Erhebt der Verantwortliche begründeten Einspruch, bemühen sich die Parteien um eine einvernehmliche Lösung. Kann keine Einigung erzielt werden, steht dem Verantwortlichen ein Sonderkündigungsrecht bezüglich der betroffenen Leistung zu.
§ 7 Rechte der betroffenen Personen
(1) Wendet sich eine betroffene Person mit Anträgen gemäß Art. 15–22 DSGVO direkt an den Auftragnehmer, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter.
(2) Der Auftragnehmer stellt dem Verantwortlichen soweit möglich technische Funktionen innerhalb der Plattform zur Verfügung, um Anträge betroffener Personen eigenständig zu bearbeiten (z. B. Datenexport, Löschfunktionen, Berichtigungsmöglichkeiten).
(3) Sofern die technischen Funktionen nicht ausreichen, unterstützt der Auftragnehmer den Verantwortlichen durch manuelle Maßnahmen bei der Erfüllung der Betroffenenrechte. Der Aufwand hierfür kann nach dem jeweils geltenden Stundensatz abgerechnet werden.
§ 8 Kontrollrechte des Verantwortlichen
(1) Der Auftragnehmer stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Dies umfasst insbesondere:
- Aktuelle Zertifikate und Testate (z. B. ISO 27001 der Infrastruktur-Anbieter)
- Dokumentation der technischen und organisatorischen Maßnahmen
- Ergebnisse von Sicherheitsaudits und Penetrationstests
(2) Vor-Ort-Kontrollen beim Auftragnehmer sind nur bei begründetem Verdacht auf einen Verstoß gegen datenschutzrechtliche Bestimmungen oder die Regelungen dieses AVV zulässig. Solche Kontrollen sind mit einer angemessenen Frist (mindestens 14 Tage) vorher anzukündigen und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen.
(3) Der Auftragnehmer kann die Kontrolle durch einen unabhängigen, zur Verschwiegenheit verpflichteten Sachverständigen durchführen lassen, sofern der Verantwortliche keine berechtigten Einwände gegen die Person des Sachverständigen erhebt.
§ 9 Laufzeit und Beendigung
(1) Dieser AVV gilt für die Dauer der Leistungsbeziehung zwischen den Parteien. Er endet automatisch mit Beendigung aller zugrunde liegenden Verträge.
(2) Nach Beendigung der Auftragsverarbeitung hat der Auftragnehmer sämtliche personenbezogenen Daten des Verantwortlichen nach Wahl des Verantwortlichen entweder zu löschen oder herauszugeben, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Die Löschung ist dem Verantwortlichen schriftlich zu bestätigen.
(3) Soweit gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen, sperrt der Auftragnehmer die betreffenden Daten und verarbeitet sie ausschließlich zu dem Zweck, der die Aufbewahrung erfordert. Nach Ablauf der Aufbewahrungsfrist werden die Daten unverzüglich gelöscht.
(4) Der Verantwortliche hat das Recht, die vollständige und vertragsgemäße Löschung der Daten durch geeignete Maßnahmen zu überprüfen.
§ 10 Haftung
(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Danach haftet jeder an der Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird.
(2) Im Innenverhältnis zwischen Verantwortlichem und Auftragnehmer gilt: Der Auftragnehmer haftet nur für Schäden, die durch eine Verarbeitung entstanden sind, bei der er seinen speziell ihm auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder bei der er über die rechtmäßigen Weisungen des Verantwortlichen hinaus oder gegen diese Weisungen gehandelt hat.
(3) Der Haftungshöchstbetrag des Auftragnehmers gegenüber dem Verantwortlichen ist auf die in den letzten 12 Monaten vor dem schädigenden Ereignis gezahlte Nettovergütung begrenzt, es sei denn, der Schaden beruht auf Vorsatz oder grober Fahrlässigkeit.
§ 11 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Änderung dieser Textformklausel.
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die unwirksame oder undurchführbare Bestimmung ist durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt (Salvatorische Klausel).
(3) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
(4) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem AVV ist Oberhausen, soweit gesetzlich zulässig.
Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
Die folgenden Maßnahmen werden gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen getroffen:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
a) Zutrittskontrolle — Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen:
- Die Infrastruktur wird bei Amazon Web Services (AWS) in ISO-27001-zertifizierten Rechenzentren in der EU (Frankfurt, Stockholm) betrieben
- Physische Zugangskontrollen werden durch AWS gewährleistet (biometrische Zugangskontrollen, 24/7-Sicherheitspersonal, Videoüberwachung)
- Eigene Büroräume sind durch verschlossene Türen und Alarmanlage gesichert
b) Zugangskontrolle — Schutz vor unbefugter Nutzung der Datenverarbeitungssysteme:
- Pflicht zur Zwei-Faktor-Authentifizierung (2FA) für alle administrativen Zugänge
- Passwortrichtlinien: Mindestlänge 12 Zeichen, Komplexitätsanforderungen
- Automatische Sperrung nach 5 fehlgeschlagenen Anmeldeversuchen
- Verschlüsselte Speicherung aller Zugangsdaten (bcrypt/argon2)
- Regelmäßige Überprüfung und Deaktivierung ungenutzter Zugänge
c) Zugriffskontrolle — Sicherstellung, dass Berechtigte nur auf die ihrer Berechtigung unterliegenden Daten zugreifen können:
- Rollenbasiertes Berechtigungskonzept (RBAC) mit dem Prinzip der geringsten Berechtigung
- Strikte Mandantentrennung auf Datenbankebene (Row-Level Security)
- Protokollierung aller Zugriffe auf personenbezogene Daten
- Regelmäßige Überprüfung der vergebenen Berechtigungen
d) Trennungskontrolle — Sicherstellung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Multi-Tenant-Architektur mit logischer Datentrennung pro Mandant
- Separate Datenbank-Schemata bzw. Row-Level-Security-Policies pro Kunde
- Trennung von Produktiv-, Staging- und Entwicklungsumgebungen
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
a) Weitergabekontrolle — Schutz personenbezogener Daten bei Übertragung und Speicherung:
- Verschlüsselte Datenübertragung mittels TLS 1.2 oder höher für alle Verbindungen
- VPN-Verschlüsselung für administrative Fernzugriffe
- Verschlüsselung der Daten im Ruhezustand (AES-256) auf allen Speichermedien
- Sichere API-Kommunikation über HTTPS und API-Token-basierte Authentifizierung
b) Eingabekontrolle — Nachvollziehbarkeit der Datenverarbeitung:
- Umfassendes Logging aller Dateneingaben, -änderungen und -löschungen
- Revisionssichere Protokollierung mit Zeitstempel und Benutzerkennung
- Aufbewahrung der Protokolle für mindestens 12 Monate
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)
- Hochverfügbare Cluster-Infrastruktur bei AWS mit Multi-AZ-Deployment
- Automatisierte, tägliche Backups mit einer Aufbewahrung von mindestens 30 Tagen
- Point-in-Time-Recovery für Datenbanken
- Disaster-Recovery-Konzept mit dokumentiertem Wiederherstellungsverfahren
- Monitoring und automatische Benachrichtigung bei Systemausfällen
- Definierte Recovery Time Objective (RTO) und Recovery Point Objective (RPO)
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
- Jährliche Evaluation und Aktualisierung der technischen und organisatorischen Maßnahmen
- Regelmäßiges Patch-Management und zeitnahe Installation sicherheitsrelevanter Updates
- Datenschutzmanagement mit dokumentierten Prozessen
- Incident-Response-Plan für den Umgang mit Sicherheitsvorfällen
- Regelmäßige Schulung und Sensibilisierung der Mitarbeiter zu Datenschutz und Informationssicherheit
Stand: März 2026 | Kre8ive Evolution, Inhaber Stephan Grundmeyer