Laravel ← Zur Startseite

Auftragsverarbeitung (AVV)

VERTRAG ZUR AUFTRAGSVERARBEITUNG NACH ART. 28 DSGVO

Stand: April 2026

zwischen

— dem Verantwortlichen (Kunde, im Folgenden „Auftraggeber") und — der Arento AI GmbH, Wiesenstr. 28, 53773 Hennef (im Folgenden „Auftragnehmer" oder „Auftragsverarbeiter").

§ 1 GEGENSTAND UND DAUER

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen des zwischen den Parteien geschlossenen Hauptvertrags über die Nutzung der Plattform.

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags.

§ 2 ART, UMFANG UND ZWECK DER VERARBEITUNG

(1) Gegenstand der Verarbeitung sind personenbezogene Daten, die der Auftraggeber im Rahmen der Plattform-Nutzung selbst eingibt: Mitarbeiter-Stammdaten, Krisenrollen, Kontaktdaten, ggf. Notfall- Informationen.

(2) Zweck der Verarbeitung ist ausschließlich die Bereitstellung der Plattform und der vereinbarten Funktionen.

(3) Die betroffenen Personenkategorien sind: — Mitarbeiter des Auftraggebers, — externe Dienstleister-Kontakte des Auftraggebers, — Versicherungs- und Behördenkontakte (Klartextdaten), — Plattform-Benutzer des Auftraggebers (App-Zugang).

§ 3 PFLICHTEN DES AUFTRAGNEHMERS

Der Auftragnehmer verpflichtet sich: — die Daten ausschließlich auf Weisung des Auftraggebers zu verarbeiten, — alle eingesetzten Personen auf das Datengeheimnis zu verpflichten, — geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu treffen — siehe separates Dokument unter /tom, — bei der Wahrung der Betroffenenrechte (Art. 15–22 DSGVO) angemessen mitzuwirken, — den Auftraggeber unverzüglich (spätestens binnen 24 Stunden nach Kenntnisnahme) bei einer Datenpanne zu informieren, — Datenschutz-Folgenabschätzungen zu unterstützen, soweit erforderlich.

§ 4 SUBUNTERNEHMER (UNTERAUFTRAGSVERARBEITER)

(1) Der Auftraggeber stimmt dem Einsatz der unter /subprocessors gelisteten Unterauftragsverarbeiter ausdrücklich zu.

(2) Der Auftragnehmer wird neue Subunternehmer mindestens 30 Tage vor Aufnahme der Verarbeitung in Textform anzeigen. Der Auftraggeber kann widersprechen; bei berechtigtem Widerspruch besteht ein Sonderkündigungsrecht für den Hauptvertrag.

§ 5 WEISUNGSBEFUGNIS

(1) Weisungen sind in Textform zu erteilen. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO verstößt.

(2) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

§ 6 KONTROLLRECHTE

(1) Der Auftraggeber hat das Recht, die Einhaltung der Vorschriften dieses Vertrags durch geeignete Maßnahmen zu kontrollieren — in der Regel durch Vorlage aktueller Selbstauskünfte, Zertifikate oder Berichte unabhängiger Prüfer.

(2) Vor-Ort-Prüfungen finden nur in dringenden Ausnahmefällen statt und werden mit angemessener Frist (mindestens 30 Tage) vorab vereinbart.

§ 7 DATENRÜCKGABE UND LÖSCHUNG

(1) Nach Beendigung des Hauptvertrags stellt der Auftragnehmer dem Auftraggeber auf Anforderung sämtliche im Auftrag verarbeiteten Daten in einem strukturierten, maschinenlesbaren Format zur Verfügung (siehe Funktion „Mandanten-Archiv (ZIP)" in der Plattform).

(2) Anschließend werden die Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 8 HAFTUNG

Die Haftung richtet sich nach den Regelungen des Hauptvertrags und nach Art. 82 DSGVO.

§ 9 SCHLUSSBESTIMMUNGEN

(1) Diese Vereinbarung ist Anlage zum Hauptvertrag und erlischt mit dessen Beendigung.

(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor, soweit es um die Verarbeitung perso- nenbezogener Daten geht.

Hinweis: Diese Grundstruktur ist eine Vorlage und ersetzt keine juristische Prüfung im Einzelfall. Vor Abschluss durch eine fach- kundige Stelle prüfen lassen — insbesondere bei Behörden-Kunden und KRITIS-Betreibern, die eigene Mustervorlagen vorgeben.