Auftragsverarbeitungsvertrag (AVV)

Vorlage nach Art. 28 DSGVO · Stand: Mai 2026

Hinweis: Dieser AVV ist eine Standard-Vorlage für Geschäftskunden des Business-Plans. Bei Bedarf nach individuellen Anpassungen kontaktieren Sie uns bitte unter datenschutz@engelmann-gmbh.de. Vor Verwendung in der Produktion sollte die finale Fassung durch einen Datenschutz-Anwalt geprüft werden.

Parteien

Auftragsverarbeiter (im Folgenden „IP Beacon" oder „Auftragnehmer"):

Engelmann GmbH
Menglinghauser Str. 378 · 44227 Dortmund · Deutschland
Vertreten durch: Ulrich Engelmann (Geschäftsführer)
HRB 13743 Amtsgericht Dortmund · USt-ID DE201541777

Verantwortlicher (im Folgenden „Auftraggeber"):

[Name des Kunden]
[Anschrift]
Vertreten durch: [Name, Funktion]

§ 1 Gegenstand und Dauer des Auftrags

(1) Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich Domain- und IP-Reputations-Monitoring auf der Plattform ip-beacon.com. Im Rahmen dieser Tätigkeit verarbeitet der Auftragnehmer personenbezogene Daten des Auftraggebers bzw. dessen Nutzer als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.

(2) Die Dauer dieser Vereinbarung entspricht der Laufzeit des jeweiligen Hauptvertrags (Business-Plan-Abonnement). Sie endet automatisch mit Beendigung des Hauptvertrags.

§ 2 Konkretisierung des Auftragsinhalts

(1) Art und Zweck der Verarbeitung

Bereitstellung des Monitoring-Dienstes für IP-Reputation, DNS-Konfiguration und E-Mail-Security der vom Auftraggeber zur Überwachung benannten Domains.

(2) Art der Daten

  • Account-Stammdaten (E-Mail-Adresse, ggf. Name)
  • Vertragsdaten (Plan, Abrechnungsstatus)
  • Nutzungsdaten (überwachte Domains, Check-Ergebnisse, Konfigurationsoptionen)
  • Session- und Logdaten (IP-Adresse, User-Agent, Zeitstempel)
  • Kommunikationsdaten (versandte Alert-E-Mails)

(3) Kategorien betroffener Personen

  • Beschäftigte des Auftraggebers, die als Nutzer des Dienstes registriert sind
  • Empfänger der Alert-E-Mails (sofern abweichend von Account-E-Mail)

(4) Ort der Verarbeitung

Primäre Verarbeitung in Deutschland (Hosteurope GmbH, Köln). Subprozessoren siehe § 8.

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen des Auftrags und auf dokumentierte Weisung des Auftraggebers. Im Einzelnen:

  1. Bestellung eines Datenschutz-Ansprechpartners (kein offizieller DSB nach §38 BDSG erforderlich, da unter 20 Beschäftigten — Kontakt: datenschutz@engelmann-gmbh.de)
  2. Verpflichtung der eingesetzten Mitarbeiter auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
  3. Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 5 dieses Vertrags
  4. Sicherstellung der Erfüllung der Pflichten gemäß Art. 32 ff. DSGVO bei eingesetzten Subprozessoren
  5. Unterstützung des Auftraggebers bei der Erfüllung von Anfragen Betroffener nach Kapitel III DSGVO
  6. Unterstützung bei der Einhaltung der in Artikeln 32 bis 36 DSGVO genannten Pflichten
  7. Nach Wahl des Auftraggebers Löschung oder Rückgabe aller personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen
  8. Unverzügliche Benachrichtigung des Auftraggebers bei Datenschutzverletzungen (max. 24 Stunden nach Kenntnisnahme)

§ 4 Pflichten des Auftraggebers

Der Auftraggeber ist im Rahmen dieses Vertrags für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

Der Auftraggeber benennt einen Ansprechpartner für Datenschutzfragen: [Name, E-Mail-Adresse]

§ 5 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer setzt folgende technische und organisatorische Maßnahmen nach Art. 32 DSGVO um:

(1) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Server-Hosting in zertifiziertem Rechenzentrum (ISO 27001) der Hosteurope GmbH; Zutritt nur für autorisiertes RZ-Personal
  • Zugangskontrolle: Account-basierte Authentifizierung mit bcrypt-Passwort-Hash (Cost 12), HttpOnly+SameSite=Lax Session-Cookies, Session-Timeout 30 Tage
  • Zugriffskontrolle: Strikte Trennung der Mandanten in der Datenbank (user_id-Filtering bei allen Queries), keine User-zu-User-Sichtbarkeit
  • Pseudonymisierung: Passwörter werden ausschließlich als bcrypt-Hash gespeichert; Session-IDs werden zufällig generiert (256 Bit Entropie)

(2) Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: Transportverschlüsselung (TLS 1.2/1.3) für alle Verbindungen zu ip-beacon.com
  • Eingabekontrolle: Logging von Account-Aktivitäten (Login-Zeitpunkt, IP-Adresse, User-Agent)

(3) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verfügbarkeitskontrolle: Tägliche Backups der Datenbank (Hosteurope-Standard), redundante Stromversorgung im Rechenzentrum
  • Wiederherstellbarkeit: Restore-Tests in regelmäßigen Abständen, Backup-Aufbewahrung 14 Tage

(4) Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Aktualisierung der eingesetzten Software-Komponenten
  • Monitoring der Webserver-Logs auf Auffälligkeiten
  • Jährliche Überprüfung dieser TOM auf Aktualität

§ 6 Berichtigung, Einschränkung und Löschung von Daten

Der Auftragnehmer wird Daten nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Die Bereitstellung entsprechender Funktionen über die Account-Verwaltung des Auftraggebers gilt als dokumentierte Weisung.

§ 7 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, sich von der Einhaltung dieses Vertrags durch den Auftragnehmer zu überzeugen. Dazu kann er Auskünfte verlangen oder vorab angekündigte Kontrollen vor Ort durchführen. Der Auftragnehmer unterstützt angemessen.

§ 8 Subprozessoren / weitere Auftragsverarbeiter

Der Auftraggeber stimmt der Beauftragung folgender Subprozessoren zu:

Subprozessor Zweck Standort
Hosteurope GmbH Webhosting, Server, Datenbank-Speicherung Deutschland
Stripe Payments Europe Ltd. Zahlungsabwicklung (nur bei kostenpflichtigen Plänen) Irland (Verarbeitung), USA (Konzernmutter)
Google LLC (Public DNS) DNS-over-HTTPS-Abfragen (öffentliche Domain-Namen, keine Personendaten) USA (EU-US Data Privacy Framework)

Der Auftragnehmer wird den Auftraggeber spätestens 30 Tage vor dem Hinzuziehen weiterer Subprozessoren oder einem Subprozessor-Wechsel informieren. Der Auftraggeber kann gegen die Hinzuziehung innerhalb dieser Frist widersprechen.

§ 9 Mitteilungspflichten bei Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, jede Verletzung des Schutzes personenbezogener Daten. Die Meldung erfolgt schriftlich oder elektronisch an den vom Auftraggeber benannten Ansprechpartner und enthält die in Art. 33 Abs. 3 DSGVO geforderten Angaben.

§ 10 Weisungsbefugnis des Auftraggebers

Die Verarbeitung der Daten findet ausschließlich auf Grundlage und im Rahmen der Weisungen des Auftraggebers statt. Weisungen sind grundsätzlich schriftlich oder in einem dokumentierten elektronischen Format zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich oder elektronisch zu bestätigen.

§ 11 Löschung und Rückgabe

Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber — spätestens mit Beendigung des Hauptvertrags — hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten.

Datenexport im JSON-Format ist über die Account-Funktionen jederzeit möglich. Löschung erfolgt automatisch nach 30 Tagen nach Account-Schließung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 12 Schlussbestimmungen

(1) Sollten sich die Daten des Auftraggebers durch Anweisungen Dritter oder durch Beschlagnahmungen Dritter beim Auftragnehmer gefährdet sehen, so wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren.

(2) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen nicht.

(3) Es gilt deutsches Recht. Gerichtsstand ist Dortmund, sofern der Auftraggeber Kaufmann ist.

Unterzeichnung

Für eine rechtsverbindliche Unterzeichnung dieses AVV setzen Sie sich bitte mit uns in Verbindung. Wir senden Ihnen die ausfüllbare PDF-Fassung zu und regeln den weiteren Ablauf:

AVV per E-Mail anfordern