Vertrag zur Auftragsverarbeitung (AVV)
Stand: 08.07.2026 · Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO. Dieser AVV wird Bestandteil des Nutzungsvertrags über rapidFOX.
Präambel
Zwischen dem Kunden (nachfolgend „Verantwortlicher“) und der Entracon Projektservice GmbH, Springorumallee 10, 44795 Bochum (nachfolgend „Auftragsverarbeiter“) besteht ein Nutzungsvertrag über die Software-as-a-Service-Lösung „rapidFOX“ (nachfolgend „Hauptvertrag“). Im Rahmen der Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen. Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien nach Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen im Zusammenhang mit der Bereitstellung und dem Betrieb von rapidFOX (Betrieb der Anwendung, Hosting, Speicherung, Wartung, Support).
(2) Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet automatisch mit dessen Beendigung, soweit sich aus den nachfolgenden Regelungen (insbesondere zur Löschung/Rückgabe) keine darüber hinausgehenden Verpflichtungen ergeben.
§ 2 Art, Umfang und Zweck der Verarbeitung
Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1. Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums statt. Eine Verarbeitung in einem Drittland erfolgt nur unter den Voraussetzungen der Art. 44 ff. DSGVO.
§ 3 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. In einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Die Nutzung der Anwendung durch den Verantwortlichen und seine Nutzer im Rahmen der vertraglich vorgesehenen Funktionen gilt als Weisung. Ergänzende oder abweichende Einzelweisungen sind in Textform zu erteilen.
(3) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Er ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie bestätigt oder geändert wird.
§ 4 Pflichten des Auftragsverarbeiters
- Verarbeitung der Daten ausschließlich weisungsgebunden und zweckgebunden (Art. 28 Abs. 3 lit. a DSGVO);
- Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit bzw. Sicherstellung, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO);
- Ergreifung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO gemäß Anlage 2;
- Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) durch geeignete Maßnahmen, soweit möglich (Art. 28 Abs. 3 lit. e DSGVO);
- Unterstützung des Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation);
- unverzügliche Information des Verantwortlichen über Kontrollen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf die Auftragsverarbeitung beziehen;
- Führung eines Verzeichnisses zu allen Kategorien der im Auftrag durchgeführten Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO).
§ 5 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen. Er ist berechtigt, diese Maßnahmen im Laufe der Zeit fortzuentwickeln und anzupassen, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
§ 6 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Die bei Vertragsschluss eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mit angemessener Frist vorab. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb der mitgeteilten Frist widersprechen.
(3) Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem Vertrag festgelegt sind (Art. 28 Abs. 4 DSGVO). Als Unterauftragsverarbeitung gelten nicht Nebenleistungen, die der Auftragsverarbeiter etwa als reine Telekommunikations-, Wartungs- oder Reinigungsleistungen in Anspruch nimmt.
§ 7 Unterstützung bei Betroffenenrechten
Wendet sich eine betroffene Person mit einem Anliegen (z. B. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) unmittelbar an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter und unterstützt ihn – soweit vereinbart und technisch möglich – bei der Erfüllung. rapidFOX stellt dem Verantwortlichen hierzu Funktionen zum Export und zur Löschung von Daten bereit.
§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die die im Auftrag verarbeiteten Daten betrifft, unverzüglich nach Bekanntwerden. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit sie dem Auftragsverarbeiter vorliegen. Er unterstützt den Verantwortlichen bei dessen Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO.
§ 9 Kontrollrechte des Verantwortlichen
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO).
(2) Kontrollen sind mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs durchzuführen. Der Nachweis kann auch durch die Vorlage geeigneter Zertifizierungen, Testate oder aktueller Berichte erfolgen.
§ 10 Löschung und Rückgabe nach Beendigung
Nach Abschluss der Auftragsverarbeitung löscht der Auftragsverarbeiter – nach Wahl des Verantwortlichen – sämtliche personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Hierzu räumt der Auftragsverarbeiter dem Verantwortlichen nach Vertragsende für einen angemessenen Zeitraum die Möglichkeit zum Datenexport ein.
§ 11 Rechenschaft und Haftung
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte betroffener Personen verantwortlich (Art. 24 DSGVO).
(2) Für die Haftung im Außenverhältnis gilt Art. 82 DSGVO. Im Innenverhältnis gelten ergänzend die Haftungsregelungen des Hauptvertrags.
§ 12 Schlussbestimmungen
(1) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen hinsichtlich des Datenschutzes die Regelungen dieses AVV vor. (2) Änderungen bedürfen der Textform. (3) Es gilt deutsches Recht. (4) Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1 – Gegenstand, Art der Daten und betroffene Personen
Art und Zweck der Verarbeitung
Speichern, Ordnen, Auslesen, Verändern, Übermitteln innerhalb der Anwendung sowie Löschen personenbezogener Daten zum Zweck des Betriebs eines Helpdesk-/Ticketsystems (Erfassung, Bearbeitung und Beantwortung von Support-Vorgängen, Zusammenarbeit, Dokumentation).
Art der personenbezogenen Daten
- Stamm- und Kontaktdaten (z. B. Name, E-Mail-Adresse, Telefonnummer, Firma);
- Inhalts- und Kommunikationsdaten (z. B. Ticket-Inhalte, E-Mails, Chat-Nachrichten, Notizen, Anhänge);
- Vorgangs- und Metadaten (z. B. Status, Priorität, Zeitstempel, Zuständigkeiten, Zeiterfassung);
- Nutzungs- und Protokolldaten der Bearbeiter im Rahmen der Anwendung.
Kategorien betroffener Personen
- Endkundinnen und Endkunden bzw. Anfragende des Verantwortlichen;
- Kontaktpersonen und Ansprechpartner in Firmenakten;
- Beschäftigte und Nutzer des Verantwortlichen (Bearbeiter).
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Vertraulichkeit
- Zutrittskontrolle: Betrieb in einem Rechenzentrum mit anerkannten physischen Sicherheitsmaßnahmen (in Deutschland);
- Zugangskontrolle: individuelle Benutzerkonten, Passwörter in verschlüsselter Form, Zwei-Faktor-Authentisierung, Sperren bei Inaktivität;
- Zugriffskontrolle: rollenbasierte Berechtigungen sowie strikte Mandantentrennung, sodass jeder Arbeitsbereich logisch getrennt und nur für berechtigte Nutzer zugänglich ist;
- Trennungskontrolle: getrennte Verarbeitung der Daten unterschiedlicher Verantwortlicher.
Integrität
- Weitergabekontrolle: Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen;
- Eingabekontrolle: Nachvollziehbarkeit von Änderungen durch Protokollierung wesentlicher Vorgänge.
Verfügbarkeit und Belastbarkeit
- regelmäßige Datensicherungen (Backups);
- Schutzmaßnahmen gegen Datenverlust sowie Maßnahmen zur raschen Wiederherstellung nach einem Zwischenfall;
- Firewalls und Beschränkung der von außen erreichbaren Dienste.
Verfahren zur regelmäßigen Überprüfung
- Aktualisierung eingesetzter Systeme (Patch-Management);
- regelmäßige Überprüfung und Verbesserung der Schutzmaßnahmen;
- Auftragsverarbeitung nur auf Grundlage dokumentierter Weisungen.
Anlage 3 – Genehmigte Unterauftragsverarbeiter
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland – Hosting und Rechenzentrums-/ Infrastrukturleistungen (Serverstandort Deutschland).
Weitere Unterauftragsverarbeiter werden nur nach Maßgabe von § 6 und mit vorheriger Information hinzugezogen. Die Verarbeitung des optionalen KI-Assistenten erfolgt auf vom Auftragsverarbeiter selbst betriebener Infrastruktur; eine Übermittlung an externe KI-Dienste findet nicht statt.