← Back
itops.aiitops.ai

Auftragsverarbeitungsvertrag (AVV)

Mustervertrag zur Auftragsverarbeitung nach Art. 28 DSGVO · model Data Processing Agreement

Last updated: 18 June 2026 · v1-2026-06-18

Dies ist die jeweils aktuelle Mustervorlage. Für den Abschluss bitte ausdrucken, firmieren und unterzeichnet an datenschutz@monovandi.com zurücksenden — wir gegenzeichnen und senden eine Kopie zurück. Zum Speichern als PDF nutzen Sie die Druckfunktion Ihres Browsers (Strg/Cmd + P → „Als PDF speichern").

Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag") konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien für die im Rahmen der Nutzung der IT-Ops-Plattform erfolgende Verarbeitung personenbezogener Daten im Auftrag.

§ 1 Parteien

  • Verantwortlicher (Auftraggeber): der die Plattform nutzende Kunde, wie im unterzeichneten Exemplar benannt.
  • Auftragsverarbeiter (Auftragnehmer): Monovandi GmbH, Markweg 21, 72218 Wildberg, Deutschland, HRB 804518, Amtsgericht Stuttgart.

§ 2 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Zusammenhang mit der Bereitstellung der IT-Ops-Lizenz-, Registrierungs- und Plattformdienste. Die Dauer entspricht der Laufzeit des zugrundeliegenden Hauptvertrags (AGB / Lizenzvertrag).

§ 3 Art, Zweck und Umfang der Verarbeitung

  • Art: Erheben, Speichern, Auslesen, Übermitteln an Sub-Auftragsverarbeiter, Löschen.
  • Zweck: Registrierung und Verwaltung von Lizenzen, Authentifizierung, Bereitstellung der Plattformfunktionen sowie — auf ausdrückliche Einwilligung — Marketing-Kontakt.
  • Betroffene Personen: Beschäftigte und Ansprechpartner des Auftraggebers, die die Plattform nutzen oder registrieren.
  • Datenkategorien: Firmen- und Kontaktdaten (Name, geschäftliche E-Mail), technische Verbindungsdaten (IP-Adresse, User-Agent), Lizenz- und Nutzungsdaten, Einwilligungsnachweise.

§ 4 Weisungsrecht des Auftraggebers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern keine gesetzliche Verpflichtung besteht (Art. 28 Abs. 3 lit. a DSGVO). Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

§ 5 Vertraulichkeit

Der Auftragnehmer verpflichtet die mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO) und stellt sicher, dass sie nur weisungsgebunden verarbeiten.

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft die nach Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere:

  • Verschlüsselung in Transit (TLS); Speicherung sensibler Token nur als Hash bzw. AES-GCM-verschlüsselt.
  • Zugriffskontrolle: Admin-Funktionen ausschließlich hinter Cloudflare Access; rollenbasierte Berechtigungen.
  • Mandantentrennung über Org-Zuordnung.
  • Protokollierung sicherheitsrelevanter Vorgänge in einem append-only Audit-Log.
  • Verfügbarkeit und Belastbarkeit der Systeme über die Cloudflare-Infrastruktur; regelmäßige Datensicherung.

§ 7 Sub-Auftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz der jeweils unter /legal/subprocessors gelisteten Sub-Auftragsverarbeiter zu. Aktuell:

  • Cloudflare, Inc. — Hosting, Workers, D1, R2, Pages, Turnstile (EU + USA; US-Transfers auf Basis EU-SCC Modul 2 zzgl. ergänzender Maßnahmen).
  • Transaktionaler E-Mail-Dienstleister — wird vor dem produktiven Versand von Bestätigungs- und Marketing-E-Mails ergänzt.

Der Auftragnehmer informiert über beabsichtigte Änderungen mit einer Frist von 30 Tagen; der Auftraggeber kann begründet widersprechen (Art. 28 Abs. 2 DSGVO).

§ 8 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Möglichen bei der Beantwortung von Betroffenenanfragen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO, einschließlich der Meldung von Verletzungen des Schutzes personenbezogener Daten ohne unangemessene Verzögerung.

§ 9 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Kenntnis, um dem Auftraggeber die Einhaltung seiner Meldepflicht (Art. 33 DSGVO, 72 Stunden) zu ermöglichen.

§ 10 Löschung und Rückgabe

Nach Abschluss der Verarbeitung löscht der Auftragnehmer die personenbezogenen Daten nach Wahl des Auftraggebers oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO).

§ 11 Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Umfang (Art. 28 Abs. 3 lit. h DSGVO).

§ 12 Schlussbestimmungen

Es gilt deutsches Recht. Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags hinsichtlich der Auftragsverarbeitung vor. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.

Ort, Datum — Auftraggeber (Verantwortlicher)

Monovandi GmbH (Auftragnehmer)

Hinweis: Diese Mustervorlage ist vor der kundenseitigen Verwendung anwaltlich zu prüfen (vgl. 261031). Modelliert nach dem GDD-Muster zur Auftragsverarbeitung.