gemäß Art. 28 DSGVO
1.1. Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten (nachstehend „Daten“ genannt) durch den Auftragnehmer für den Auftraggeber in dessen Auftrag und nach dessen Weisung. Die Beauftragung durch den Auftraggeber wird durch den Hauptvertrag bestimmt.
1.2. Die konkreten Verarbeitungstätigkeiten der Auftragsverarbeitung im Zusammenhang mit dem Hauptvertrag, insbesondere die Art der Daten, der Zweck der Datenerhebung, Datenverarbeitung und -nutzung, sowie der Kreis der Betroffenen sind in Anlage 1 festgelegt.
1.3. Der vorliegende Vertragstext einschließlich aller Anlagen regelt den Vertragsinhalt.
2.1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen als Verantwortlicher der Verarbeitung im Sinne des Art. 4 Nr. 7 DSGVO allein verantwortlich. Dieses gilt insbesondere für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der Betroffenen nach den Art. 12 bis 22 DSGVO.
2.2. Der Auftragnehmer ist für die Einhaltung der jeweils für ihn als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO einschlägigen Datenschutzvorschriften, insbesondere des Art. 28 DSGVO, verantwortlich.
2.3. Der Auftraggeber informiert den Auftragnehmer unverzüglich und vollständig, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
3.1. Die Weisungen bezüglich der Verarbeitung personenbezogener Daten werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden („Einzelweisung“). Ausgenommen hiervon sind Sachverhalte, in denen dem Auftragnehmer eine Verarbeitung aus zwingenden rechtlichen Gründen auferlegt wird. Die Weisungen sind von den Parteien in Textform zu dokumentieren.
3.2. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen bestätigt der Auftraggeber im Nachgang unverzüglich in Textform.
3.3. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung, so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
4.1. Der Auftragnehmer verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers sowie im Rahmen der vertraglichen Pflichten des Hauptvertrages zu verarbeiten, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
4.2. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO. Der dem Auftragnehmer hierfür entstehende Aufwand wird durch den Auftraggeber aufwandsabhängig vergütet. Hierfür vereinbaren die Parteien einen Stundensatz von 120,00 Euro. Der Auftragnehmer ist berechtigt seine Aufwände in 15-Minuten-Intervallen, d.h. pro angefangener 15 Minuten abzurechnen. Er ist verpflichtet, die Aufwände zu dokumentieren. Er wird dem Auftraggeber am Ende eines jeden Kalendermonats eine entsprechende Abrechnung vorlegen, die vom Auftraggeber innerhalb von 14 Kalendertagen ab Erhalt zu begleichen ist.
4.3. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten Befugten zur Vertraulichkeit und falls erforderlich auf das Fernmeldegeheimnis (§ 3 TDDDG) verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Hauptvertrages fort.
4.4. Der Auftragnehmer verpflichtet sich, den Auftraggeber angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person zu unterstützen, ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen und Anfragen von Betroffenen unverzüglich an den Auftraggeber weiterzuleiten. Die dem Auftragnehmer hierfür entstehenden Aufwände werden vom Auftraggeber entsprechend der Regelung in Ziff. 4.2 vergütet.
4.5. Der Auftragnehmer verwendet die überlassenen Daten für keine anderen Zwecke, als die der Vertragserfüllung und setzt auch keine Mittel zur Verarbeitung ein, die nicht vom Auftraggeber zuvor genehmigt wurden. Legt der Auftragnehmer unter Verstoß gegen die DSGVO Zwecke und Mittel selbst fest, gilt er in Bezug auf die Verarbeitung als Verantwortlicher.
4.6. Sollten die personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegen.
4.7. Der Auftragnehmer verpflichtet sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Betriebsgeheimnissen und Datensicherheitsmaßnahmen des Auftraggebers vertraulich zu behandeln.
4.8. Der Auftraggeber ist berechtigt die Erfüllung der vorgenannten Pflichten höchstens einmal im Jahr durch eine Kontrolle, welche den Betriebsablauf des Auftragnehmers nicht stört, zu überprüfen. Der Zeitpunkt der Kontrolle wird jeweils zwischen den Parteien mit einer angemessen Vorlaufzeit vereinbart.
5.1. Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen („TOM“) vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, gemäß Anlage 2 zu erfüllen.
5.2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind dem Auftraggeber rechtzeitig vorab in einer zur Überprüfung geeigneten Form mitzuteilen und zu dokumentieren.
6.1. Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zur Beauftragung der in Anlage 3 aufgeführten Unterauftragnehmer gemäß Artikel 28 Abs. 2 S. 2 DSGVO.
6.2. Über jede weitere Hinzuziehung oder Ersetzung von Unterauftragnehmern informiert der Auftragnehmer den Auftraggeber. Der Auftraggeber kann der Hinzuziehung oder Ersetzung innerhalb eines Zeitraums von 14 Kalendertagen ab Zugang der Mitteilung widersprechen, wenn der objektiv begründete Verdacht besteht, dass der betreffende Unterauftragnehmer seinen datenschutzrechtlichen Pflichten nicht bzw. nicht ausreichend nachkommen wird. Diesen Widerspruch muss der Auftraggeber begründen; er darf nicht aus unbilligen Gründen erhoben werden.
6.3. Der Auftragnehmer muss Unterauftragnehmer unter besonderer Berücksichtigung der Eignung hinsichtlich der Erfüllung der zwischen Auftraggeber und Auftragnehmer vereinbarten technischen und organisatorischen Maßnahmen gewissenhaft auswählen. Dies gilt sowohl für den Unterauftragnehmer selbst als auch für alle in der Folge eingesetzten weiteren Unterauftragnehmer.
7.1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
7.2. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt und sind streng untersagt. Hierfür bedarf es einer vorherigen Genehmigung des Auftraggebers in Textform. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
7.3. Nach Abschluss der vertraglichen Arbeiten – oder früher nach Aufforderung durch den Auftraggeber – hat der Auftragnehmer
dem Auftraggeber auszuhändigen oder auf Anweisung des Auftraggebers datenschutzkonform zu löschen bzw. zu vernichten, sofern keine gesetzliche Pflicht zur Aufbewahrung besteht. Gleiches gilt für alle Daten, die Betriebs- oder Geschäftsgeheimnisse des Auftraggebers beinhalten. Das Protokoll der Löschung ist auf Anforderung vorzulegen und mindestens drei Jahre aufzubewahren.
7.4. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen, jedoch mindestens drei Jahre über das Vertragsende hinaus, aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
7.5. Sofern zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten entstehen, bedarf es einer vorherigen Vereinbarung in Textform über die Kostentragung.
8.1. Die konkreten Angaben zum Leistungsort sind in Anlage 1 festgelegt.
8.2. Der Auftraggeber stimmt einer Verlagerung des Ortes der Leistungserbringung innerhalb des Leistungslandes, für das eine Zustimmung besteht, zu, wenn dort nachweislich ein gleiches Sicherheitsniveau gegeben ist und keine für den Auftraggeber geltenden gesetzlichen Bestimmungen gegen diese Verlagerung sprechen. Die Nachweispflicht hierzu liegt bei dem Auftragnehmer.
8.3. Soweit im Rahmen der Auftragsverarbeitung personenbezogene Daten in sog. Drittländer außerhalb des EU/EWR-Raumes übermittelt werden, garantiert der Auftragnehmer die Einhaltung der Art. 44 ff. DSGVO.
9.1. Es gelten die Haftungsregelungen des Artikel 82 DSGVO.
9.2. Hiervon abweichende Haftungsregelungen – im Hauptvertrag oder andernorts – finden in Bezug auf die Verarbeitung von personenbezogenen Daten und die Regelungen der DSGVO keine Anwendung.
10.1. Die Laufzeit des vorliegenden AV-Vertrags richtet sich nach der Laufzeit des entsprechenden Hauptvertrages.
10.2. Es ist den Vertragsparteien bewusst, dass ohne Vorliegen eines gültigen AV-Vertrages, z. B. bei Beendigung des Hauptvertrages, keine (weitere) Auftragsverarbeitung durchgeführt werden darf.
10.3. Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform.
Anlagen:
Die vorliegende Anlage konkretisiert Gegenstand, Art, Zweck und Schutzniveau in Bezug auf die personenbezogenen Daten, die auf Basis des Hauptvertrags durch den Auftragnehmer im Auftrag des Auftraggebers verarbeitet werden.
Art der Verarbeitung (detailliertere Beschreibung der stattfindenden Datenverarbeitungen und des Verarbeitungsablaufs):
Aufnahme, Speicherung u. Analyse von Angaben bei der Verantwortlichen Stelle beschäftigten Personen zu ihrer Position und Aufgaben bei der Verantwortlichen sowie relevanten Tätigkeiten und deren Background(wissen) zum Aufbau einer Wissensdatenbank
| Art der Daten | Zweck der Datenerhebung, -verarbeitung und -nutzung | Kreis der Betroffenen | Schutzniveau der Daten |
|---|---|---|---|
| Name, Position u. Tätigkeiten im Unternehmen, allg. Know-How | Aufbau einer Wissensdatenbank | Beschäftigte | gering |
Der Auftragnehmer wird die vertraglichen Leistungen in Deutschland erbringen.
Etwaige Unterauftragnehmer erbringen die sie betreffenden Leistungen zum Teil in einem Drittland. Der Auftragnehmer sichert die Einhaltung der diesbezüglichen Vorgaben der DSGVO zu und weist dies auf Verlangen nach.
| Nr. | Name und Anschrift | Beschreibung der Teilleistungen | Ort der Leistungserbringung |
|---|---|---|---|
| 1 | SUPABASE PTE. LTD. 65 Chulia Street #38-02/03, OCBC Centre, Singapore 049513 | Datenspeicherung | Deutschland |
| 2 | Vercel Inc. 340 S Lemon Ave #4133 Walnut, CA 91789 USA | Hosting und Betrieb der Web-Anwendung | Deutschland |
| 3 | n8n GmbH Novalisstr. 10 10115 Berlin Deutschland | Self-hosted Automatisierungs-Software (n8n) für die Teams-/Slack-Wissensabfrage; betrieben auf der Server-Infrastruktur des Auftragnehmers (Nr. 4) | Deutschland |
| 4 | Hostinger International Ltd 61 Lordou Vironos Street 6023 Larnaca Zypern | Server-Infrastruktur (VPS) für Automatisierung (n8n) | Deutschland |
| 5 | Brevo (Sendinblue SAS) 106 boulevard Haussmann 75008 Paris Frankreich | Transaktionaler E-Mail-Versand (Einladungen, Rechnungen, Kontakt) | EU |
| 6 | Stripe Payments Europe, Ltd. 1 Grand Canal Street Lower Grand Canal Dock Dublin, Irland (Verarbeitung tlw.: Stripe, Inc., USA) | Zahlungsabwicklung, Rechnungsdaten | EU/USA |
| 7 | Anthropic PBC 548 Market Street PMB 90375 San Francisco CA 94104-5401 | Model-Hosting | USA |
| 8 | OpenAI Ireland Ltd 1st Floor, The Liffey Trust Centre 117–126 Sheriff Street Upper Dublin 1, D01 YC43, Irland (Verarbeitung: OpenAI, L.L.C., USA) | Spracherkennung (Whisper) und Sprachausgabe (TTS) der Sprachfunktion | USA |
| 9 | Microsoft Ireland Operations Ltd. One Microsoft Place, South County Business Park Leopardstown, Dublin 18, D18 P521, Irland (Verarbeitung tlw.: Microsoft Corporation, USA) | Übermittlung von Wissensabfragen und -antworten an Microsoft Teams – nur bei vom Auftraggeber aktivierter Teams-Integration (Business-Plan) | EU/USA |
| 10 | Slack Technologies Limited One Park Place, Hatch Street Upper Dublin 2, Irland (Verarbeitung tlw.: Slack Technologies LLC, USA) | Übermittlung von Wissensabfragen und -antworten an Slack – nur bei vom Auftraggeber aktivierter Slack-Integration (Business-Plan) | EU/USA |
Für Übermittlungen in Drittländer bestehen geeignete Garantien gemäß Art. 46 DSGVO (EU-Standardvertragsklauseln).
Dieser Auftragsverarbeitungsvertrag wird mit der Registrierung bzw. dem Abschluss des Hauptvertrags zwischen dem Auftraggeber (Verantwortlicher) und Remainly (Auftragnehmer) wirksam; eine gesonderte Unterzeichnung ist nicht erforderlich. · Stand: Juni 2026 · Remainly
Bei Fragen zur Datenverarbeitung: datenschutz@remainly.de