Auftragsverarbeitungsvertrag (AVV)
Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zwischen Ihnen als Verantwortlichem und der Univents GmbH als Auftragsverarbeiter.
Dieser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird geschlossen zwischen dem Kunden – nachfolgend „Verantwortlicher“ – und der Univents GmbH – nachfolgend „Auftragsverarbeiter“. Es handelt sich um die jeweils gültige Fassung; eine gegengezeichnete, kundenspezifische Ausfertigung stellen wir auf Anfrage bereit.
1. Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Nutzung des ERP-Systems „Univents“.
(2) Gegenstand der Verarbeitung ist die Bereitstellung und der Betrieb einer Softwarelösung zur Abbildung betrieblicher Prozesse, insbesondere in den Bereichen:
- Projekt- und Eventmanagement
- Kunden- und Lieferantenverwaltung
- Einkauf, Produktion und Lager
- Abrechnung und Reporting
(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
2. Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zum Zweck:
- der Verwaltung von Kunden-, Projekt- und Lieferantendaten
- der Planung und Durchführung von Veranstaltungen
- der Steuerung von Einkauf, Produktion und Logistik
- der Abrechnung und betriebswirtschaftlichen Auswertung
Eine darüber hinausgehende Nutzung ist unzulässig.
3. Kategorien betroffener Personen
- Kunden und deren Ansprechpartner
- Mitarbeiter des Verantwortlichen
- Lieferanten und Dienstleister
- ggf. Eventteilnehmer / Gäste
4. Kategorien personenbezogener Daten
- Stammdaten (Name, Adresse, Kontaktdaten)
- Vertrags- und Abrechnungsdaten
- Projekt- und Veranstaltungsdaten
- Kommunikationsdaten
Optional / ggf. sensibel:
- Allergene oder ernährungsbezogene Angaben
5. Weisungsrecht
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Weisungen können in schriftlicher oder elektronischer Form erfolgen.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung gegen Datenschutzrecht verstößt.
6. Vertraulichkeit
(1) Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung betrauten Personen:
- zur Vertraulichkeit verpflichtet sind
- entsprechend geschult wurden
(2) Der Zugriff auf Daten erfolgt ausschließlich nach dem Need-to-know-Prinzip.
7. Technisch-organisatorische Maßnahmen (TOMs)
(1) Der Auftragsverarbeiter verpflichtet sich zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO.
(2) Diese umfassen insbesondere:
Zugriffskontrolle
- rollenbasierte Benutzerverwaltung
- Authentifizierung (Passwort, ggf. MFA)
Zugriffsbeschränkung
- differenzierte Rechtevergabe
- Protokollierung von Zugriffen
Datenübertragung
- Verschlüsselung (TLS/HTTPS)
Datenspeicherung
- sichere Rechenzentren
- Schutz vor unbefugtem Zugriff
Datensicherung
- regelmäßige Backups
- Wiederherstellbarkeit
Systemüberwachung
- Monitoring und Logging
(3) Die konkreten Maßnahmen sind in Anlage A (TOMs) beschrieben.
8. Unterauftragsverarbeiter (Sub-Processor)
(1) Der Auftragsverarbeiter darf Unterauftragsverarbeiter einsetzen.
(2) Eine aktuelle Liste ist in Anlage B enthalten.
(3) Der Verantwortliche hat ein Widerspruchsrecht bei Änderungen.
(4) Der Auftragsverarbeiter stellt sicher, dass Sub-Processor denselben Datenschutzpflichten unterliegen.
9. Drittlandtransfer
(1) Eine Verarbeitung außerhalb der EU erfolgt nur unter Einhaltung der DSGVO.
(2) Bei Übermittlungen in Drittländer werden Standardvertragsklauseln (SCC) angewendet.
10. Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:
- Auskunfts-, Berichtigungs- und Löschanfragen
- Datenschutz-Folgenabschätzungen
- Anfragen von Aufsichtsbehörden
11. Meldung von Datenschutzvorfällen
(1) Der Auftragsverarbeiter meldet Datenschutzvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.
(2) Die Meldung enthält:
- Art des Vorfalls
- betroffene Daten
- mögliche Auswirkungen
- eingeleitete Maßnahmen
12. Löschung und Rückgabe von Daten
(1) Nach Beendigung des Vertrages hat der Auftragsverarbeiter:
- alle personenbezogenen Daten zurückzugeben oder
- datenschutzkonform zu löschen
(2) Die Löschung ist schriftlich zu bestätigen.
(3) Gesetzliche Aufbewahrungspflichten bleiben unberührt.
13. Kontrollrechte
(1) Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrages zu überprüfen.
(2) Dies kann erfolgen durch:
- Audits
- Zertifikate (z. B. ISO 27001)
- Prüfberichte
14. Haftung
(1) Die Parteien haften gemäß den gesetzlichen Bestimmungen der DSGVO.
(2) Eine Haftungsfreistellung des Auftragsverarbeiters ist ausgeschlossen.
15. Schlussbestimmungen
(1) Dieser Vertrag ist Bestandteil des Hauptvertrages.
(2) Änderungen bedürfen der Schriftform.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
Anlage A – Technisch-organisatorische Maßnahmen (TOMs)
gemäß Art. 32 DSGVO
1. Ziel der Maßnahmen
Diese technisch-organisatorischen Maßnahmen dienen der Sicherstellung von:
- Vertraulichkeit
- Integrität
- Verfügbarkeit
- Belastbarkeit der Systeme
sowie dem Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Manipulation.
2. Zutrittskontrolle (physischer Zugang)
- Betrieb der Server in zertifizierten Rechenzentren (z. B. ISO 27001)
- Zugang zu Rechenzentren nur für autorisiertes Personal
- Einsatz von Zugangskontrollsystemen (z. B. Chipkarten, biometrische Verfahren)
- Videoüberwachung der sicherheitsrelevanten Bereiche
- Protokollierung von Zutritten
3. Zugangskontrolle (Systemzugriff)
- Benutzer-Authentifizierung über individuelle Zugangsdaten (User-ID / Passwort)
- Passwort-Richtlinien (Mindestlänge, Komplexität, regelmäßige Änderung)
- Optional: Mehrfaktor-Authentifizierung (MFA)
- Sperrung von Benutzerkonten nach mehrfach fehlgeschlagenen Login-Versuchen
- Nutzung sicherer Verbindungen (HTTPS / TLS)
4. Zugriffskontrolle (Datenzugriff)
- Rollen- und Berechtigungskonzept (Role-Based Access Control)
- Differenzierte Vergabe von Lese-, Schreib- und Administrationsrechten
- Trennung von administrativen und operativen Rollen
- Regelmäßige Überprüfung von Berechtigungen
- Protokollierung von Zugriffen und Änderungen
5. Weitergabekontrolle (Datenübertragung)
- Verschlüsselte Datenübertragung (TLS/HTTPS)
- Absicherung von Schnittstellen (APIs) durch Authentifizierung
- Protokollierung von Datenexporten
- Einschränkung von Exportfunktionen auf berechtigte Nutzer
6. Eingabekontrolle
- Protokollierung von Änderungen an personenbezogenen Daten (Logging)
- Zuordnung von Änderungen zu Benutzerkonten
- Nachvollziehbarkeit von Zeitpunkten und Inhalten von Änderungen
7. Auftragskontrolle
- Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen
- Schulung und Verpflichtung der Mitarbeiter des Auftragsverarbeiters
- Interne Richtlinien zur Datenverarbeitung
- Regelmäßige Überprüfung der Einhaltung der Datenschutzvorgaben
8. Verfügbarkeitskontrolle
- Regelmäßige Datensicherungen (mindestens täglich)
- Redundante Speicherung von Daten
- Einsatz von unterbrechungsfreier Stromversorgung (USV)
- Schutz vor Hardwareausfällen
- Notfallpläne (Disaster Recovery)
9. Wiederherstellbarkeit
- Definition von Wiederanlaufzeiten (RTO)
- Definition maximaler Datenverluste (RPO)
- Regelmäßige Tests der Datenwiederherstellung
- Dokumentierte Notfallprozesse
10. Trennungskontrolle
- Logische Trennung von Daten unterschiedlicher Kunden (Mandantentrennung)
- Trennung von Test- und Produktivsystemen
- Zugriffsbeschränkung auf projektspezifische Daten
11. Pseudonymisierung und Anonymisierung
- Möglichkeit zur anonymisierten Nutzung von Daten (z. B. für Schulungs- oder Testzwecke)
- Verwendung anonymisierter Daten bei Weitergabe an Dritte
12. Monitoring und Logging
- Überwachung der Systemverfügbarkeit
- Protokollierung sicherheitsrelevanter Ereignisse
- Analyse von Auffälligkeiten (z. B. unautorisierte Zugriffsversuche)
13. Sicherheitsmanagement
- Regelmäßige Sicherheitsupdates und Patches
- Einsatz von Firewalls und Intrusion-Detection-Systemen
- Durchführung von Sicherheitsprüfungen
- Dokumentation von Sicherheitsmaßnahmen
14. Organisation und Prozesse
- Benennung eines Datenschutzverantwortlichen
- Regelmäßige Schulung der Mitarbeiter
- Etablierung eines Incident-Response-Prozesses
- Dokumentation aller relevanten Prozesse
15. Mobile und externe Zugriffe
- Zugriff nur über gesicherte Verbindungen
- Einschränkung von Zugriffen über unsichere Netzwerke
- Nutzung von Geräten gemäß Sicherheitsrichtlinien
16. Überprüfung und Aktualisierung
Die Maßnahmen werden regelmäßig überprüft und an den Stand der Technik angepasst.
Anlage B – Liste der Unterauftragsverarbeiter (Sub-Processor)
| Nr. | Unternehmen | Leistung | Standort der Verarbeitung | Datenkategorien | Rechtsgrundlage Drittland |
|---|---|---|---|---|---|
| 1 | Bubble Group, Inc. | Plattform-Hosting (No-Code-Backend, aktueller Betrieb der Univents-Plattform) | USA | Stamm-, Kunden-, Projekt-, Veranstaltungs- und Kommunikationsdaten | SCC + AVV |
| 2 | Vercel Inc. | Hosting der Next.js-Anwendung (Migrationszielsystem) | EU (Frankfurt) | Stamm-, Kunden-, Projekt-, Veranstaltungs- und Kommunikationsdaten | AVV + SCC (Konzernbezug) |
| 3 | Supabase Pte. Ltd. | Datenbank- und Backend-Dienste (PostgreSQL, Storage, Auth) | EU (Frankfurt) | Stamm-, Kunden-, Projekt-, Veranstaltungs- und Kommunikationsdaten | AVV + SCC (Konzernbezug) |
| 4 | Cloudflare, Inc. | Content Delivery Network, DDoS-Schutz, Web Application Firewall | Globales Edge-Netzwerk (Hauptsitz USA) | Verbindungs- und Metadaten, IP-Adressen | SCC + AVV |
| 5 | HubSpot, Inc. | CRM (Kunden- und Kontaktverwaltung, Vertriebskommunikation) | EU (Frankfurt) | Kontaktdaten, Kommunikationsdaten, Vertriebsdaten | AVV |
| 6 | Intercom Inc. | Support-Kommunikation, In-App-Messaging | USA | Kontaktdaten, Kommunikationsdaten, Nutzungsdaten | SCC + AVV |
| 7 | Resend, Inc. | Versand transaktionaler System-E-Mails | USA | Kontaktdaten (Name, E-Mail), Inhalt von System-E-Mails | SCC + AVV |
| 8 | Stripe Payments Europe, Ltd. | Zahlungsabwicklung (sofern aktiviert) | Irland (EU), Datenübermittlung an Stripe, Inc. USA | Zahlungs- und Rechnungsdaten | AVV + SCC für US-Transfer |
| 9 | Functional Software, Inc. (Sentry) | Error-Monitoring und Performance-Logging | EU (Frankfurt) | Technische Logdaten, IP-Adressen, ggf. User-IDs | AVV (SCC entfällt) |
| 10 | PostHog, Inc. | Produkt-Analytik, Feature-Flags, Session Recording (In-App) sowie KI-Observability (Sentiment-Auswertung von Chat- und Onboarding-Konversationen) | Deutschland (EU-Cloud) | Nutzungsdaten, Klicks, Seitenaufrufe, User-IDs sowie Inhalte von Chat- und Onboarding-Konversationen zur Qualitäts- und Sentiment-Auswertung | AVV (SCC entfällt) |
| 11 | Anthropic, PBC | KI-gestützte Funktionen (Claude API) – keine Nutzung zu Trainingszwecken | USA | Vom Nutzer übermittelte Inhalte zur KI-Verarbeitung | SCC + AVV (Speicherung max. 30 Tage) |
| 12 | OpenAI, L.L.C. | KI-gestützte Funktionen (GPT API) – keine Nutzung zu Trainingszwecken | USA | Vom Nutzer übermittelte Inhalte zur KI-Verarbeitung | SCC + AVV (Speicherung max. 30 Tage) |
| 13 | Google Ireland Limited (Gemini API über Google Workspace) | KI-gestützte Funktionen (Gemini API) – keine Nutzung zu Trainingszwecken | EU/Irland | Vom Nutzer übermittelte Inhalte zur KI-Verarbeitung | AVV (Workspace-Datenhaltung) |
| 14 | Google Ireland Limited (Google Workspace) | E-Mail-Kommunikation, Dokumenten- und Dateiablage | EU/Irland | Kommunikationsdaten, Dokumente, Kontaktdaten | AVV (SCC entfällt) |
| 15 | Nylas, Inc. | E-Mail- und Kalender-Integration (Inbox-Sync, Senden und Empfangen) | EU (Irland) | Kommunikationsdaten (E-Mail-Inhalte, Betreff, Absender/Empfänger), Kalender- und Kontaktdaten | AVV + SCC (Konzernbezug) |
3. Beschreibung der Leistungen
Die Sub-Processor erbringen insbesondere folgende Leistungen:
- Hosting und Infrastruktur (Serverbetrieb, CDN)
- Speicherung und Verarbeitung von Daten
- Versand von Systembenachrichtigungen und transaktionalen E-Mails
- Überwachung und Sicherstellung des Systembetriebs (Monitoring, Error-Tracking)
- Support- und Kommunikationsleistungen
- Zahlungsabwicklung
- KI-gestützte Funktionen ohne Nutzung der Daten zu Trainingszwecken
- Produkt-Analytik zur Verbesserung der Anwendung
4. Drittlandübermittlungen
(1) Sofern Sub-Processor Daten außerhalb der EU / des EWR verarbeiten, erfolgt dies ausschließlich unter Einhaltung der DSGVO.
(2) Hierzu zählen insbesondere:
- Abschluss von Standardvertragsklauseln (SCC)
- ggf. zusätzliche technische Schutzmaßnahmen (z. B. Verschlüsselung, Ausschluss der Datennutzung zu Trainingszwecken)
(3) Der Auftragsverarbeiter stellt sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist.
5. Informationspflicht bei Änderungen
(1) Der Auftragsverarbeiter informiert den Verantwortlichen über:
- neue Sub-Processor
- Änderungen bestehender Sub-Processor
- Wechsel von Standorten
(2) Die Information erfolgt mindestens 14 Tage im Voraus.
6. Widerspruchsrecht
(1) Der Verantwortliche hat das Recht, einer Änderung zu widersprechen.
(2) Im Falle eines berechtigten Widerspruchs sind die Parteien verpflichtet, eine einvernehmliche Lösung zu finden.
7. Verpflichtung der Sub-Processor
Der Auftragsverarbeiter stellt sicher, dass alle Sub-Processor:
- vertraglich zur Einhaltung der DSGVO verpflichtet sind
- geeignete technisch-organisatorische Maßnahmen umsetzen
- keine Daten zu eigenen Zwecken verarbeiten
8. Nachweispflichten
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage geeignete Nachweise zur Verfügung, insbesondere:
- Verträge mit Sub-Processorn (in geeigneter Form)
- Zertifizierungen (z. B. ISO 27001)
- Datenschutzkonzepte
9. Schlussbestimmung
Diese Liste ist Bestandteil des Auftragsverarbeitungsvertrages und wird regelmäßig aktualisiert.
Wir verwenden Cookies für Statistik und — mit deiner Einwilligung — für Marketing (Google, Meta, LinkedIn), um unsere Werbung zu verbessern. Details: Cookie-Richtlinie