Vertrag zur Auftragsverarbeitung
gemäß Art. 28 DSGVO · Anlage zum Hauptvertrag · Fassung Juni 2026
Präambel und Parteien
Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit dem zwischen ihnen geschlossenen Hauptvertrag über Beratungs- und Automatisierungsleistungen.
| Verantwortlicher (Auftraggeber) | Auftragsverarbeiter |
|---|---|
| Der Kunde gemäß Hauptvertrag (nachfolgend „Verantwortlicher") | Sebastian Marxen, Marxen eCommerce, Alte Lübecker Chaussee 12, 24114 Kiel (nachfolgend „Auftragsverarbeiter") |
Soweit der Auftragsverarbeiter im Rahmen des Hauptvertrages personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, gilt dieser AVV. Verarbeitet der Auftragsverarbeiter im Einzelfall keine personenbezogenen Daten für den Verantwortlichen, geht dieser AVV ins Leere, ohne dass es seiner Aufhebung bedarf.
Das „In-der-Blase-des-Kunden"-Prinzip (alles auf der eigenen Infrastruktur des Verantwortlichen, scoped Zugänge, Datentrennung pro Kunde) reduziert die Verarbeitung durch den Auftragsverarbeiter auf das Nötigste. Das senkt das Datenschutzrisiko — hebt die AVV-Pflicht aber nicht auf, solange Zugriff auf personenbezogene Daten besteht.
§ 1 Gegenstand und Dauer
(1) Gegenstand der Verarbeitung ist die Erbringung der im Hauptvertrag vereinbarten Leistungen (Einrichtung, Betrieb und Wartung von Automatisierungen, Auswertungen und KI-gestützten Arbeitsabläufen), soweit dabei personenbezogene Daten verarbeitet werden.
(2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrages. Pflichten, die ihrer Natur nach fortgelten (insbesondere Vertraulichkeit, Löschung), bestehen über das Vertragsende hinaus.
§ 2 Art, Zweck, Datenarten, Betroffene
Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1.
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere:
- Weisungsbindung: personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet; in diesem Fall teilt er dies vorab mit, soweit zulässig. Der Hauptvertrag und dieser AVV gelten als dokumentierte Erstweisung.
- Vertraulichkeit: sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
- Sicherheit der Verarbeitung: die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 2 zu treffen und während der Vertragsdauer aufrechtzuerhalten.
- Sub-Auftragsverarbeiter: weitere Auftragsverarbeiter nur unter den Bedingungen des § 5 einzusetzen.
- Unterstützung Betroffenenrechte: den Verantwortlichen mit geeigneten Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) zu unterstützen.
- Unterstützung Sicherheits-/Meldepflichten: den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung) angemessen zu unterstützen.
- Löschung/Rückgabe: nach Abschluss der Verarbeitung gemäß § 9 zu verfahren.
- Nachweise: dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen bereitzustellen und Überprüfungen gemäß § 10 zu ermöglichen.
- Hinweispflicht: den Verantwortlichen unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.
§ 4 Pflichten des Verantwortlichen
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und für die Wahrung der Betroffenenrechte verantwortlich. Er erteilt Weisungen in Textform; mündliche Weisungen bestätigt er unverzüglich in Textform.
(2) Der Verantwortliche stellt sicher, dass er zur Übermittlung der Daten und zur Beauftragung des Auftragsverarbeiters berechtigt ist.
§ 5 Sub-Auftragsverarbeiter
(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der in Anlage 3 genannten Sub-Auftragsverarbeiter.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung/Ersetzung) rechtzeitig in Textform. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb von vierzehn (14) Tagen widersprechen. Im Falle eines berechtigten Widerspruchs sind die Parteien bemüht, eine einvernehmliche Lösung zu finden; gelingt dies nicht, ist der Auftragsverarbeiter zur Kündigung des betroffenen Leistungsteils berechtigt.
(3) Der Auftragsverarbeiter verpflichtet Sub-Auftragsverarbeiter auf im Wesentlichen gleichwertige Datenschutzpflichten und bleibt für deren Leistung gegenüber dem Verantwortlichen verantwortlich.
Abs. 2 gibt dem Kunden ein Widerspruchsrecht, aber kein dauerhaftes Veto, das deinen Betrieb blockiert: Bei berechtigtem Widerspruch ohne Einigung kannst du den betroffenen Leistungsteil beenden, statt in der Schwebe zu hängen.
§ 6 Drittlandübermittlung
(1) Eine Verarbeitung in einem Drittland findet nur statt, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
(2) Soweit Sub-Auftragsverarbeiter Daten außerhalb der EU/des EWR verarbeiten (insbesondere KI-Modell-Anbieter mit Sitz in den USA, siehe Anlage 3), erfolgt dies auf Grundlage geeigneter Garantien, insbesondere der Standardvertragsklauseln der EU-Kommission (Durchführungsbeschluss (EU) 2021/914) in der jeweils einschlägigen Modulkombination, ergänzt um eine Transfer-Folgenabschätzung und etwaige zusätzliche Schutzmaßnahmen.
Anthropic (USA) ist der heikelste Punkt. Bitte prüfen: aktuelles Anthropic-DPA/SCC-Set, richtige SCC-Module (Controller→Processor bzw. Processor→Processor), Transfer Impact Assessment, und ob Datenminimierung/Pseudonymisierung den Transferumfang weiter reduzieren kann.
§ 7 Betroffenenrechte
Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter und beantwortet es nicht selbst, es sei denn, er ist dazu angewiesen.
§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter meldet dem Verantwortlichen eine ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, in der Regel innerhalb von 48 Stunden nach Kenntniserlangung, und unterstützt ihn so, dass dieser seine Meldepflicht (72 Stunden, Art. 33 DSGVO) erfüllen kann.
§ 9 Löschung und Rückgabe
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung erfolgt innerhalb von dreißig (30) Tagen nach Vertragsende, soweit nichts anderes vereinbart ist. Da die Daten überwiegend auf der Infrastruktur des Verantwortlichen verbleiben, betrifft dies vor allem etwaige beim Auftragsverarbeiter befindliche Kopien.
§ 10 Nachweise und Überprüfungen
(1) Der Auftragsverarbeiter weist die Einhaltung der Pflichten in geeigneter Weise nach (z. B. durch Auskünfte, Dokumentation der TOMs, ggf. Zertifikate).
(2) Überprüfungen vor Ort führt der Verantwortliche mit angemessener Vorankündigung (in der Regel mindestens 14 Tage), während der üblichen Geschäftszeiten, höchstens einmal jährlich (sowie anlassbezogen bei konkretem Verdacht) und unter Wahrung der Betriebsabläufe und Geheimhaltungsinteressen des Auftragsverarbeiters durch. Erforderlicher Eigenaufwand des Auftragsverarbeiters kann angemessen vergütet werden.
Abs. 2 macht aus dem gesetzlichen Audit-Recht etwas Handhabbares: Vorankündigung, einmal jährlich, Geschäftszeiten, kein Offenlegen fremder Kundendaten, Aufwandsersatz. Das verhindert, dass ein Audit-Recht zur Dauerbelastung wird.
§ 11 Haftung
Für die Haftung gelten die Regelungen des Hauptvertrages (insbesondere die Haftungsbeschränkung der AGB) entsprechend, soweit nicht Art. 82 DSGVO zwingend etwas anderes bestimmt. Im Innenverhältnis trägt jede Partei die Verantwortung für den ihr zuzurechnenden Verursachungsbeitrag.
§ 12 Schlussbestimmungen
(1) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.
(2) Änderungen bedürfen der Textform. Es gilt deutsches Recht.
Anlage 1 — Art, Zweck, Datenarten, Betroffene
Im Einzelfall pro Kunde zu konkretisieren. Typische Ausprägung im vorliegenden Geschäftsmodell:
| Punkt | Typische Angabe |
|---|---|
| Art der Verarbeitung | Erheben, Speichern, Auslesen, Auswerten, Übermitteln im Rahmen der eingerichteten Automatisierungen und Auswertungen (überwiegend auf der Infrastruktur des Verantwortlichen). |
| Zweck | Einrichtung, Betrieb, Wartung und Auswertung der vereinbarten Automatisierungs-/KI-Workflows. |
| Art der Daten | z. B. Bestell-/Transaktionsdaten, Käufer-Stammdaten (Name, Anschrift, Kontaktdaten), Kommunikationsdaten, ggf. Mitarbeiterdaten des Verantwortlichen mit Zugriff. |
| Kategorien Betroffener | Kunden/Käufer des Verantwortlichen, Mitarbeiter/Ansprechpartner des Verantwortlichen. |
| Besondere Kategorien (Art. 9) | in der Regel keine. |
Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32)
Entwurf — final an die konkrete Einrichtung anzupassen.
- Vertraulichkeit: scoped, individuell widerrufbare Zugänge je Person/Aufgabe; Zugriff nach Need-to-know; Datentrennung pro Kunde (eigene Infrastruktur je Kunde); Verschlüsselung von Zugangsdaten/Secrets.
- Integrität: Übertragungsverschlüsselung (TLS); Protokollierung relevanter Zugriffe/Änderungen; Schutz gegen unbefugte Veränderung.
- Verfügbarkeit & Belastbarkeit: regelmäßige Backups; Updates/Patches; Firewalls; Wiederherstellbarkeit nach Vorfällen.
- Verschlüsselung/Pseudonymisierung: Verschlüsselung ruhender Secrets; Datenminimierung; Pseudonymisierung, soweit möglich.
- Regelmäßige Überprüfung: der Wirksamkeit der Maßnahmen im laufenden Betrieb (Retainer).
- Auftragskontrolle: Weisungsbindung, Verpflichtung von Sub-Auftragsverarbeitern.
Anlage 3 — Genehmigte Sub-Auftragsverarbeiter
Entwurf — nur soweit im Einzelfall personenbezogene Daten durchlaufen; final zu verifizieren.
| Dienstleister | Zweck | Sitz / Transfer |
|---|---|---|
| Hetzner Online GmbH | Server-/Hosting-Infrastruktur | Deutschland (EU) |
| Anthropic, PBC | KI-Modell (Claude) für Auswertungen/Verarbeitung in natürlicher Sprache | USA — SCCs + Transfer-Folgenabschätzung erforderlich |
| Google Ireland Ltd. | ggf. Datenablage/Sheets, Terminbuchung | EU; ggf. Transfer USA über geeignete Garantien |
Die Liste ist pro Kunde zu konkretisieren — viele Verarbeitungen laufen rein auf der Kunden-Infrastruktur ohne diese Dienste. Jeden tatsächlich genutzten Sub-Prozessor mit aktuellem DPA/SCC hinterlegen.
Stand: Juni 2026 · ENTWURF — anwaltlich / durch Datenschutzbeauftragten zu prüfen. Auftragsverarbeiter: Sebastian Marxen, Marxen eCommerce, Alte Lübecker Chaussee 12, 24114 Kiel · info@marxen-ecommerce.de