Zum Inhalt springen

Auftragsverarbeitungsvertrag

Version 1.0 · Zuletzt aktualisiert 2026-04-02

Dieser Auftragsverarbeitungsvertrag („AVV“) regelt die Verarbeitung personenbezogener Daten zwischen der Tallence AG, Neue Gröningerstr. 13, 20457 Hamburg („Auftragsverarbeiter“, „wir“, „uns“) und dem Kunden („Verantwortlicher“, „Sie“) für die Nutzung des AWS Compliance Snapshot Tool („Dienst“).

1. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Erbringung der vertraglich vereinbarten Leistungen.

Die Dauer der Verarbeitung richtet sich nach der Laufzeit der jeweiligen Vereinbarung zwischen den Parteien.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere die Erhebung, Speicherung, Organisation, Auswertung, Übermittlung und Löschung personenbezogener Daten.

Die Verarbeitung erfolgt ausschließlich zur:

  • Bereitstellung der vereinbarten Leistungen
  • technischen Durchführung und Sicherstellung des Betriebs
  • Gewährleistung der IT-Sicherheit und Systemstabilität
  • Kommunikation im Zusammenhang mit der Leistungserbringung

3. Kategorien personenbezogener Daten

Je nach Nutzung der Leistungen werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet:

  • Stammdaten: z. B. Name, Unternehmen
  • Kontaktdaten: z. B. E-Mail-Adresse
  • Nutzungsdaten: z. B. Interaktionen, Zugriffsdaten
  • Authentifizierungsdaten: z. B. Zugangsdaten, Sitzungsinformationen
  • Kommunikationsdaten: z. B. Kommunikationsinhalte und -metadaten
  • Sonstige Daten: Daten, die durch den Verantwortlichen im Rahmen der Nutzung bereitgestellt werden

4. Kategorien betroffener Personen

Von der Verarbeitung können insbesondere folgende Personengruppen betroffen sein:

  • Mitarbeitende und Nutzer des Verantwortlichen
  • Kunden oder Geschäftspartner des Verantwortlichen
  • sonstige betroffene Personen im Rahmen der Nutzung der Leistungen

5. Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch gesetzliche Vorschriften zur Verarbeitung verpflichtet ist.

Weisungen können durch den Verantwortlichen oder durch von ihm benannte berechtigte Personen erfolgen.

Weisungen erfolgen grundsätzlich in Textform (z. B. E-Mail).

Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, wird er den Verantwortlichen unverzüglich darauf hinweisen.

6. Ort der Verarbeitung

Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR).

Eine Verarbeitung in Drittländern erfolgt nur unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO.

7. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten hierzu verpflichtet ist
  • sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen
  • geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen
  • den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen zu unterstützen
  • nach Beendigung der Verarbeitung personenbezogene Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der gesetzlichen Anforderungen zur Verfügung zu stellen sowie Überprüfungen zu ermöglichen

8. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

  • Amazon Web Services (AWS): Cloud-Infrastruktur-Hosting (EU-Region: eu-central-1, Frankfurt). AWS verarbeitet Daten gemäß dem AWS-Auftragsverarbeitungszusatz.
  • HubSpot: CRM und Marketing-Automatisierung. HubSpot verarbeitet Kontaktdaten (E-Mail, Name, Firma, Berufsbezeichnung) und Marketing-Kommunikationspräferenzen gemäß dem HubSpot-Auftragsverarbeitungsvertrag.

Der Auftragsverarbeiter behält sich vor, die eingesetzten Unterauftragsverarbeiter zu ändern oder weitere hinzuzuziehen. Der Verantwortliche wird über entsprechende Änderungen informiert und hat das Recht, diesen aus wichtigem Grund zu widersprechen.

9. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung sowie der ihm zur Verfügung stehenden Informationen bei der Einhaltung der datenschutzrechtlichen Pflichten.

Dies umfasst insbesondere die Unterstützung bei der Wahrnehmung der Rechte betroffener Personen gemäß Art. 12 bis 23 DSGVO, bei der Umsetzung der Pflichten zur Sicherheit der Verarbeitung sowie zur Meldung von Datenschutzverletzungen gemäß Art. 32 bis 36 DSGVO sowie, soweit erforderlich, bei der Durchführung von Datenschutz-Folgenabschätzungen.

Die Unterstützung erfolgt im angemessenen Umfang und unter Berücksichtigung der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

10. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten.

Die Meldung enthält alle verfügbaren Informationen gemäß Art. 33 DSGVO, insbesondere eine Beschreibung der Art der Verletzung, der betroffenen Daten und Personengruppen sowie der ergriffenen oder geplanten Maßnahmen.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung etwaiger Melde- und Benachrichtigungspflichten und dokumentiert entsprechende Vorfälle.

11. Kontroll- und Prüfungsrechte

Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Anforderungen beim Auftragsverarbeiter zu überprüfen.

Der Auftragsverarbeiter stellt hierzu auf Anfrage geeignete Nachweise zur Verfügung, insbesondere Dokumentationen, Zertifizierungen oder aktuelle Prüfberichte.

Darüber hinaus kann der Verantwortliche im angemessenen Umfang Prüfungen durchführen oder durch beauftragte Dritte durchführen lassen, soweit dies auf Grundlage bereitgestellter Informationen und Nachweise möglich ist.

Soweit Prüfungen über die Bereitstellung von Nachweisen hinausgehen, können diese nach vorheriger Abstimmung und gegen Erstattung des angemessenen Aufwands des Auftragsverarbeiters erfolgen.

Der Auftragsverarbeiter stellt sicher, dass entsprechende Prüf- und Kontrollrechte auch gegenüber eingesetzten Unterauftragsverarbeitern bestehen.

12. Datenlöschung und Rückgabe

Nach Beendigung der Verarbeitung werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um. Die Maßnahmen dienen insbesondere der Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage nähere Informationen zu den technischen und organisatorischen Maßnahmen zur Verfügung.

Der Auftragsverarbeiter ist berechtigt, die technischen und organisatorischen Maßnahmen anzupassen oder weiterzuentwickeln, sofern das Schutzniveau der Verarbeitung insgesamt nicht beeinträchtigt wird.

14. Internationale Datenübermittlungen

Sofern personenbezogene Daten in Drittländer übermittelt werden, stellt der Auftragsverarbeiter geeignete Garantien gemäß Art. 44 ff. DSGVO sicher, insbesondere:

  • Standardvertragsklauseln (SCC)
  • Angemessenheitsbeschlüsse
  • ggf. weitere geeignete Schutzmaßnahmen

15. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

Beide Parteien verpflichten sich, alle im Rahmen dieses Vertrags erlangten Informationen, insbesondere personenbezogene Daten, vertraulich zu behandeln und nur im Rahmen der vertraglich vereinbarten Zwecke zu verwenden.

Die Vertraulichkeitspflicht besteht auch über die Beendigung dieses Vertrags hinaus fort.

16. Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

Gerichtsstand ist – soweit zulässig – Hamburg.

17. Schlussbestimmungen

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

18. Kontakt

Tallence AG
Neue Gröningerstr. 13
20457 Hamburg

E-Mail: info@tallence.com

Bei datenschutzrechtlichen Fragen kann sich der Verantwortliche an datenschutz@tallence.com wenden.