Auftragsverarbeitungsvertrag (AVV)

Stand 13.06.2025

§1 Gegenstand und Dauer der Verarbeitung

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der Software ENOLA.
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags über die Nutzung der Software ENOLA.

Die Verarbeitung erfolgt zum Zweck der Aufnahme, Speicherung, Analyse und Visualisierung von Umweltdaten durch die Plattform ENOLA.
Die Art der Verarbeitung umfasst insbesondere das Speichern, Ändern und Löschen von personenbezogenen Daten.

Der Anbieter verarbeitet im Rahmen der Nutzung der Software ENOLA personenbezogene Daten ausschließlich im Auftrag und auf dokumentierte Weisung des Auftraggebers im Sinne von Art. 28 DSGVO.
Gegenstand der Verarbeitung sind insbesondere:
1. Namen und E-Mail-Adressen zur Nutzeridentifikation, Kontoverwaltung und Kommunikation. Die Verwaltung erfolgt durch den Auftraggeber; die Speicherung erfolgt dauerhaft in gesicherter Umgebung.
2. IP-Adressen, die zur technischen Absicherung des Dienstes verarbeitet und ausschließlich vorübergehend in anonymisierter Form gespeichert werden.
3. Standortdaten, sofern deren Verarbeitung auf Grundlage einer ausdrücklichen Einwilligung der betroffenen Person erfolgt.
Die Verarbeitung betrifft insbesondere folgende Kategorien betroffener Personen:
1. Nutzerinnen und Nutzer der Plattform ENOLA, insbesondere Mitarbeitende des Auftraggebers;
2. Weitere natürliche Personen aus Datenquellen mit Personenbezug, deren Daten im Rahmen der Softwarenutzung verarbeitet werden.

Der Auftraggeber hat das Recht, jederzeit schriftliche Weisungen zur Datenverarbeitung zu erteilen.
Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

Der Auftragnehmer verpflichtet sich insbesondere:
1. personenbezogene Daten ausschließlich im Rahmen der Weisungen zu verarbeiten,
2. geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO umzusetzen,
3. alle mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten,
4. den Auftraggeber bei der Erfüllung seiner datenschutzrechtlichen Pflichten zu unterstützen.

Der Auftragnehmer darf Subunternehmer nur mit vorheriger Zustimmung oder nach vorheriger Information einsetzen.
Aktuell eingesetzter Subunternehmer als Hosting Provider mit Serverstandort Deutschland: Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren bei der Bearbeitung von Anfragen betroffener Personen gemäß Kapitel III DSGVO (z. B. Auskunft, Löschung, Berichtigung).

Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren, insbesondere bei Verlust, Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten.

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle notwendigen Informationen zur Verfügung, um die Einhaltung der in diesem Vertrag genannten Pflichten nachzuweisen.
Der Auftraggeber ist berechtigt, nach vorheriger Ankündigung angemessene Audits durchzuführen oder durch Dritte durchführen zu lassen.

Nach Beendigung des Vertrags werden alle personenbezogenen Daten nach Wahl des Auftraggebers entweder zurückgegeben oder datenschutzkonform gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Eine Bestätigung der Löschung kann angefordert werden.

Nebenabreden zu diesem Vertrag bedürfen der Schriftform.
Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit im Übrigen unberührt.
Es gilt das Recht der Bundesrepublik Deutschland.