Arbeiten. Genießen. Vernetzen. Alles unter einem Dach.
Auftragsverarbeitungsvereinbarung (AVV)
Präambel
Diese Auftragsverarbeitungsvereinbarung (im Folgenden „AVV“) konkretisiert die datenschutz-rechtlichen Pflichten und Rechte zwischen CoWorking Cassel @depo, ein Produkt der @depo GmbH & Co.KG, Franzgraben 6-8, 34125 Kassel (im Folgenden „Auftragsverarbeiter“) und dem Nutzer (im Folgenden „Verantwortlicher“) im Rahmen der Erbringung der Dienstleistungen gemäß den Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters, insbesondere Bereitstellung von Arbeitsplätzen im CoWorking Space, Büroräume, Seminarräume, virtueller Geschäftsadressen, Postservices, Telefonservices sowie ergänzender digitaler Leistungen erbringt.
Diese AVV ist Bestandteil des Hauptvertrages und regelt die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).
§ 1.Gegenstand und Dauer der Vereinbarung
1.Gegenstand dieser AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen im Rahmen der Erbringung der im Hauptvertrag und in den Leistungsbeschreibungen der AGB definierten Dienstleistungen (z.B. Annahme und Scan von Postsendungen, Entgegennahme und Bearbeitung von Telefonanrufen).
2.Die Dauer dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages, sofern nicht einseitige Regelungen in dieser AVV eine frühere Beendigung rechtfertigen. Eine Kündigung des Hauptvertrages beendet automatisch auch diese AVV.
§ 2.Art und Zweck der Verarbeitung,
Art der personenbezogenen Daten und Personenkategorien
1.Art der Verarbeitung: Erhebung, Speicherung, Organisation, Strukturierung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung von Daten. Die Verarbeitung erfolgt automatisiert und/oder nicht-automatisiert, insbesondere durch manuelle Tätigkeiten (z.B. Öffnen und Sortieren von Post, Notizen bei Telefonanrufen).
2.Zweck der Verarbeitung:
Bereitstellung der im Hauptvertrag vereinbarten Dienstleistungen, insbesondere:
•Postservice: Annahme, Sortierung, Öffnung, Digitalisierung (Scannen), Weiterleitung und/oder Archivierung von Postsendungen im Auftrag des Verantwortlichen.
•Telefonservice: Entgegennahme von Anrufen, Erstellung von Anrufnotizen, Weiterleitung von Nachrichten und/oder Anrufen im Namen des Verantwortlichen.
•Bearbeitung von Nutzeranfragen, administrative Verwaltung des Vertrags-verhältnisses.
3.Art der personenbezogenen Daten:
•Im Rahmen des Postservices: Absender- und Empfängerdaten auf Postsendungen (Namen, Adressen), Kommunikationsinhalte (Texte, Dokumente, Rechnungen, geschäftliche Korrespondenz), ggf. Bankverbindungsdaten oder sonstige Daten, die in den Postsendungen enthalten sind.
•Im Rahmen des Telefonservices: Namen von Anrufern, Telefonnummern, Anliegen des Anrufers, Uhrzeit und Dauer des Anrufs, Notizen zum Gesprächsinhalt.
•Stammdaten des Verantwortlichen und seiner Mitarbeiter: Namen, Adressen, Kontaktdaten (E-Mail, Telefonnummer), Vertragsdaten.
4.Kategorien betroffener Personen:
•Nutzer, Geschäftspartner und Lieferanten des Verantwortlichen.
•Mitarbeiter des Verantwortlichen.
•Anrufer, die den Telefonservice des Verantwortlichen nutzen.
•Sonstige Personen, deren Daten in den Postsendungen oder Telefonanrufen enthalten sind.
§ 3.Weisungsrecht des Verantwortlichen
1.Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der schriftlich erteilten Weisungen des Verantwortlichen, soweit nicht eine Ausnahme nach Art. 28 Abs. 3 lit. a DSGVO besteht (z.B. aufgrund gesetzlicher Pflichten des Auftragsverarbeiters).
2.Mündliche Weisungen sind unverzüglich schriftlich oder in Textform (z.B. per E-Mail) zu bestätigen.
3.Der Verantwortliche ist berechtigt, die Einhaltung der Weisungen jederzeit zu überprüfen.
4.Beabsichtigt der Auftragsverarbeiter, eine Weisung des Verantwortlichen zu ignorieren, weil er der Ansicht ist, dass diese gegen die DSGVO oder andere Datenschutzvorschriften verstößt, hat er den Verantwortlichen unverzüglich zu informieren.
§ 4.Pflichten des Auftragsverarbeiters
1.Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten nur gemäß den Weisungen des Verantwortlichen und dieser AVV zu verarbeiten.
2.Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten Daten zu gewährleisten. Diese Maßnahmen sind in Anhang 1 dieser AVV näher beschrieben und können vom Verantwortlichen jederzeit auf Anfrage eingesehen werden.
3.Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
4.Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 12-22 (Rechte betroffener Personen) und Art. 32-36 (Datensicherheit, Meldepflichten bei Datenschutzverletzungen, Datenschutz-Folgen-abschätzung, vorherige Konsultation) DSGVO.
5.Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, Verletzungen des Schutzes
personenbezogener Daten des Verantwortlichen. Die Meldung muss mindestens die Informationen gemäß Art. 33 Abs. 3 DSGVO enthalten.
9.Der Auftragsverarbeiter wird nach Beendigung des Hauptvertrages und dieser AVV alle personenbezogenen Daten auf Wunsch des Verantwortlichen löschen oder an diesen zurückgeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Der Auftragsverarbeiter darf beauftragen. Der Auftragsverarbeiter muss sicherstellen, dass Subunternehmer die gleichen Datenschutzpflichten einhalten, die zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegt sind, insbesondere hinsichtlich der Gewährleistung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Eine Liste der aktuell eingesetzten Subunternehmer kann beim Auftragsverarbeiter angefragt werden.
§ 5.Pflichten des Verantwortlichen
1.Der Verantwortliche ist allein für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten verantwortlich, die er dem Auftragsverarbeiter zur Verfügung stellt.
2.Der Verantwortliche hat das Weisungsrecht gemäß § 3 dieser AVV auszuüben und den Auftragsverarbeiter unverzüglich über etwaige Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung zu informieren.
3.Der Verantwortliche ist dafür verantwortlich, dass die erteilten Weisungen des Auftragsverarbeiters keine Verstöße gegen die DSGVO oder andere Datenschutz-vorschriften darstellen.
4.Der Verantwortliche ist verpflichtet, dem Auftragsverarbeiter die für die Erfüllung der vertraglichen Pflichten erforderlichen Daten und Informationen vollständig und korrekt zur Verfügung zu stellen.
§ 6.Kontrollrechte des Verantwortlichen
1.Der Verantwortliche hat das Recht, nach vorheriger Absprache und während der üblichen Geschäftszeiten des Auftragsverarbeiters Kontrollen zur Einhaltung dieser AVV und der Datenschutzvorschriften durchzuführen oder durch Dritte durchführen zu lassen, die keiner Wettbewerbsbeziehung zum Auftragsverarbeiter stehen.
2.Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten und dieser AVV notwendig sind.
§ 7.Haftung
Die Haftung für Schäden, die aufgrund dieser AVV entstehen, richtet sich nach den Regelungen des § 8 der Allgemeinen Geschäftsbedingungen (AGB) des Auftragsver-arbeiters sowie nach Art. 82 DSGVO.
§ 8.Schlussbestimmungen
Änderungen und Ergänzungen dieser AVV bedürfen der Schriftform. Dies gilt auch für die Abänderung dieser Schriftformklausel. Sollten einzelne Bestimmungen dieser AVV unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen dadurch nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters, sofern der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
Anhang 1: Technische und Organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO
§ 1.Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
•Zutrittskontrolle: Sicherung der Räumlichkeiten gegen unbefugten Zutritt (z.B. Schließsysteme, Alarmanlagen).
•Zugangskontrolle: Verhinderung der Nutzung von Datenverarbeitungssystemen durch Unbefugte (z.B. Benutzerauthentifizierung, Passwortrichtlinien, Authentifizierung).
•Zugriffskontrolle: Sicherstellung, dass nur Berechtigte auf die ihren Zugriffsrechten unterliegenden Daten zugreifen können (z.B. Rollen- und Berechtigungskonzepte, Protokollierung von Zugriffen).
•Trennungsgebot: Getrennte Verarbeitung von Daten für unterschiedliche Verantwortliche (z.B. Mandantentrennung in Systemen, physische Trennung von Postsendungen).
§ 2.Integrität (Art. 32 Abs. 1 lit. b DSGVO)
•Weitergabekontrolle: Verhinderung, dass Daten bei der elektronischen Übertragung unbefugt gelesen, kopiert, verändert oder entfernt werden können (z.B. Verschlüsselung, VPN, sichere E-Mail-Kommunikation bei Scans).
•Eingabekontrolle: Sicherstellung der Nachvollziehbarkeit, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden (z.B. Logging, Protokollierung von Änderungen).
§ 3.Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
•Verfügbarkeitskontrolle: Schutz vor zufälliger Zerstörung oder Verlust (z.B. Backup-Konzepte, Notfallpläne, USV-Anlagen, redundante Systeme).
•Wiederherstellbarkeit: Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
§ 4.Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
(Art. 32 Abs. 1 lit. d DSGVO)
•Auftragskontrolle: Sicherstellung, dass beauftragte Daten nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden (z.B. klare Vertragswerke, Schulung der Mitarbeiter, interne Kontrollen).
•Regelmäßige Überprüfung: Regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen.
Seite 1 von 1
Stand: Oktober 2025
@depo GmbH & Co.KG ° Franzgraben 6-8 ° 34125 Kassel
Amtsgericht Kassel HRA 18346 | USt-IdNr. DE 368665463
