Auftragsverarbeitungsvertrag (AVV)

 

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Scheurer Technologies UG (haftungsbeschränkt)
Kuhnkestraße 6,
24118 Kiel

E-Mail: hallo@startandconnect.com

Stand: Dezember 2025

§ 1 Vertragsparteien

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen:

Auftraggeber (Verantwortlicher):
Der Kunde gemäß den Allgemeinen Geschäftsbedingungen der Scheurer Technologies UG.

Auftragnehmer (Auftragsverarbeiter):
Scheurer Technologies UG (haftungsbeschränkt)
Kuhnkestraße 6,
24118 Kiel

Geschäftsführer: Ben Scheurer

E-Mail: hallo@startandconnect.com

§ 2 Gegenstand und Dauer

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der vereinbarten Dienstleistungen (Hosting, Support, Projektarbeit).

(2) Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses gemäß der zugrunde liegenden Allgemeinen Geschäftsbedingungen.

§ 3 Art und Zweck der Verarbeitung

(1) Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung, Pflege und Bereitstellung von Daten im Rahmen von Hosting-Dienstleistungen
  • Wartung und Support von Systemen und Anwendungen
  • Entwicklung und Anpassung von Software
  • Verwaltung und Betrieb von Automatisierungen

§ 4 Art der personenbezogenen Daten

(1) Folgende Kategorien personenbezogener Daten können verarbeitet werden:

  • Namen und Kontaktdaten
  • E-Mail-Adressen
  • Kundendaten des Auftraggebers (B2B und B2C)
  • Nutzungsdaten
  • Sonstige Daten, die der Auftraggeber in seinen Systemen speichert

(2) Zahlungsdaten werden nicht vom Auftragnehmer verarbeitet, sondern direkt von Stripe, Inc.

§ 5 Kategorien betroffener Personen

Betroffene Personen sind:

  • Der Auftraggeber selbst
  • Kunden des Auftraggebers
  • Mitarbeiter des Auftraggebers
  • Sonstige Personen, deren Daten in den Systemen des Auftraggebers gespeichert sind

§ 6 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.

(2) Der Auftragnehmer gewährleistet, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO.

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32-36 DSGVO.

(5) Nach Beendigung des Vertrags werden alle personenbezogenen Daten gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende.

§ 7 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer setzt folgende Sicherheitsmaßnahmen um:

Zutrittskontrolle

Die Serverinfrastruktur wird bei Hetzner Online GmbH in zertifizierten Rechenzentren in Deutschland betrieben. Die technischen und organisatorischen Maßnahmen von Hetzner sind unter https://www.hetzner.com/AV-Vertrag abrufbar.

Zugangskontrolle

Zugang zu Systemen erfolgt nur über individuelle Benutzerkonten mit starken Passwörtern und Zwei-Faktor-Authentifizierung (2FA).

Zugriffskontrolle

Zugriff auf personenbezogene Daten erfolgt nur für autorisierte Mitarbeiter und Freelancer nach dem Need-to-know-Prinzip.

Weitergabekontrolle

Verschlüsselte Datenübertragung via SSL/TLS. Zugangsdaten werden ausschließlich in verschlüsselten Passwort-Managern gespeichert.

Eingabekontrolle

Nachvollziehbarkeit von Änderungen durch Logging in den eingesetzten Systemen.

Verfügbarkeitskontrolle

Tägliche Backups mit sieben Tagen Aufbewahrung. Redundante Serverinfrastruktur bei Hetzner. Automatisierte Überwachung mit Prüfung alle 5 Minuten und automatischen Wiederherstellungsmaßnahmen.

Trennungskontrolle

Logische Trennung der Kundendaten durch separate Instanzen und Datenbanken.

§ 8 Meldepflicht bei Datenschutzvorfällen

(1) Der Auftragnehmer informiert den Auftraggeber innerhalb von 72 Stunden nach Kenntniserlangung über Verletzungen des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung
  • Die betroffenen Datenkategorien und ungefähre Anzahl der betroffenen Personen
  • Die wahrscheinlichen Folgen der Verletzung
  • Die ergriffenen oder vorgeschlagenen Maßnahmen

§ 9 Unterstützung bei Betroffenenrechten

(1) Der Auftraggeber ist für die Bearbeitung von Anfragen betroffener Personen (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit, Widerspruch) selbst verantwortlich.

(2) Auf Anfrage unterstützt der Auftragnehmer den Auftraggeber im Rahmen seiner technischen Möglichkeiten bei der Erfüllung von Betroffenenrechten. Der Aufwand wird nach dem vereinbarten Stundensatz abgerechnet.

§ 10 Unterauftragnehmer

(1) Der Auftraggeber stimmt der Nutzung folgender Unterauftragnehmer zu:

  • Hetzner Online GmbH – Hosting, Serverinfrastruktur (Deutschland)
  • Notion Labs, Inc. – Projektmanagement (USA)
  • Stripe, Inc. – Zahlungsabwicklung (USA)
  • Brevo (Sendinblue) – E-Mail-Marketing (Deutschland/Frankreich)
  • Google LLC – E-Mail und Dokumente (USA)
  • Cal.com, Inc. – Terminbuchung (USA)

(2) Der Auftraggeber stimmt der Nutzung weiterer Unterauftragnehmer zu. Der Auftragnehmer informiert den Auftraggeber über Änderungen.

(3) Ist der Auftraggeber mit einem neuen Unterauftragnehmer nicht einverstanden und betrifft dieser die Verarbeitung seiner Daten, kann er den Vertrag zum Zeitpunkt der geplanten Änderung kündigen.

§ 11 Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen.

(2) Die Überprüfung erfolgt auf schriftliche Anfrage per E-Mail. Der Auftragnehmer stellt dem Auftraggeber innerhalb von 30 Tagen eine Selbstauskunft über die umgesetzten Maßnahmen zur Verfügung.

(3) Vor-Ort-Prüfungen sind ausgeschlossen, da der Auftragnehmer vollständig remote arbeitet. Für Prüfungen der Serverinfrastruktur kann sich der Auftraggeber direkt an Hetzner Online GmbH wenden.

§ 12 Haftung

(1) Die Haftung richtet sich nach den Regelungen der zugrunde liegenden Allgemeinen Geschäftsbedingungen.

§ 13 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

(4) Gerichtsstand ist Kiel, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

Zusätzlich AVV Vertrag mit uns schließen. 

PDF herunterladen

Wenn du für dein Unternehmen einen Auftragsverarbeitungsvertrag (AVV) mit uns abschließen möchtest, kannst du das hier tun.

Lade die PDF herunter, unterschreibe sie und sende sie unterschrieben an hallo@startandconnect.com zurück. Mit Eingang ist der AVV gültig.