Vertrag zur Auftragsverarbeitung mit Spreadmind

Auf dieser Seite kannst du als Spreadmind Autor einen Vertrag zur Auftragsverarbeitung (AVV) mit der Spreadmind GmbH für deine Spreadmind Webseite abschließen. Das ist ein wichtiger Bestandteil der Vorgaben der DSGVO.

Vertrag zur Auftragsverarbeitung mit Spreadmind

  • Spreadmind Logo
    Version: 1.1 - Rottweil, den 07.06.2023
    Abschluss des Vertrags am: 26/04/2024


    Vertrag zur Auftragsverarbeitung



    zwischen dem

  • Auftraggeber:

    Bitte füllen Sie hier Ihre Angaben als Auftraggeber aus:
  • Beispiel: wunschname.spreadmind.de Gegebenenfalls auch die Webseite, die wir in Ihrem Auftrag als Agentur betreuen. Bei Nennung mehrerer Webseite bitte die URL mit Komma trennen.
  • Benutzername Ihres Spreadmind Benutzerkontos, das Sie als "Spreadmind Autor" zur Verwaltung Ihrer Spreadmind Webseite verwenden.
  • An diese E-Mail-Adresse wird anschließend der geschlossene Vertrag zur Auftragsverarbeitung gesendet. Vorzugsweise die E-Mail-Adresse, die Sie auch für ihr Spreadmind Benutzerkonto verwenden.
  • und dem

  • Auftragnehmer

  • Spreadmind GmbH
    Graben 18
    78628 Rottweil
    Deutschland

  • Inhalt des Vertrags:

  • 1       Einleitung, Geltungsbereich, Definitionen

    (1) Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag. (2) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten. (3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.


    2       Gegenstand und Dauer der Verarbeitung

    2.1      Gegenstand

    Der Auftragnehmer übernimmt folgende Verarbeitungen: Spreadmind stellt einen Online-Service zur Verfügung, mit dem die Spreadmind-Nutzer wie der Auftraggeber (in den AGB auch „Spreadmind Autor“ genannt) eine eigene Spreadmind-Webseite selbst erstellen und betreiben können. Der bereitgestellte Service erlaubt es den Nutzern, selbstständig das Design der eigenen Spreadmind-Webseite anzupassen, eigene Inhalte und Produkte über Spreadmind als Wiederverkäufer einzustellen. Der Gegenstand des Auftrags ergibt sich im Übrigen aus dem zwischen den Parteien geschlossenen Hauptvertragsverhältnis. Dieses beruht auf den AGB für Spreadmind Autoren von Spreadmind, die wirksam in das Vertragsverhältnis zwischen den Parteien einbezogen wurden (im Folgenden „Hauptvertrag“)..

    2.2      Dauer

    Die Verarbeitung beginnt am mit dem Abschluss des Hauptvertrages und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder des Hauptvertrags durch eine Partei.


    3       Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung:

    3.1      Art und Zweck der Verarbeitung

    Die Verarbeitung ist folgender Art: Erheben, Erfassen, Organisieren, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten Die Verarbeitung dient folgendem Zweck: Betreiben einer Spreadmind Webseite

    3.2      Art der Daten

    Es werden folgende Daten verarbeitet:
    • Bestandsdaten von Kunden des Auftraggebers
      • Name, Anschrift
      • Bestelldaten
      • Rechnungsdaten
      • Vertragsstammdaten
      • im Falle des Einsatzes des Spreadmind-Shops: Zahlungsdaten (werden jedoch nur vom Payment-Anbieter Novalnet AG und PayPal (Europe) S.à r.l. et Cie, S.C.A. gespeichert und verarbeitet)
    • Nutzungsdaten von Besuchern der Spreadmind-Website des Auftraggebers: Spreadmind nutzt diverse Services zur Nutzungsanalyse (z.B. Google Analytics), um Statistiken für Spreadmind-Nutzer wie z.B. den Auftraggeber zu ermöglichen; aber auch um die Spreadmind-Angebote regelmäßig zu evaluieren und zu optimieren.
    • Inhaltsdaten, die Besucher von Internetseiten des Auftraggebers auf diesen eingeben (z.B. in Kommentaren, Foren und Formularen)
    • Kommunikationsdaten wie E-Mail-Adresse und Name, die Besucher beim Eintrag in einen E-Mail-Verteiler (Double-Opt-In) auf der Spreadmind Webseite des Auftraggebers eingeben. Diese werden an den E-Mail Anbieter Mailjet SAS übergeben, der die technische Auslieferung und Verwaltung von Transaktionsmails und Newslettern übernimmt.
    • Protokolldaten (z.B. die IP-Adresse der Besucher einer Spreadmind Webseite)
    Bei den genannten Datenarten handelt es sich um Daten, die regelmäßig bei der Inanspruchnahme von Leistungen von Spreadmind verarbeitet werden. Die Datenarten können abhängig von den jeweiligen vom Auftraggeber in Anspruch genommenen Dienstleistungen von Spreadmind abweichen bzw. im Ermessen von Spreadmind erweitert werden. Spreadmind trägt Sorge dafür, dass die jeweils anzuwendenden Rechtsgrundlagen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten beachtet werden, soweit dies im Verantwortungsbereich von Spreadmind liegt. Für die Prüfung der Zulässigkeit der Verarbeitung von Inhaltsdaten (z.B. aus vom Auftraggeber genutzten Formularen) oder sonstigen Daten, deren Verarbeitung der Auftraggeber im Zusammenhang mit der Nutzung seiner Internetseiten selbst initiiert hat, ist der Auftraggeber allein verantwortlich.

    3.2.1      Kategorien der betroffenen Personen

    Von der Verarbeitung betroffen sind:
    • Kunden des Auftraggebers
    • Besucher der Spreadmind Website des Auftraggebers
    • Newsletter-Abonnenten des Auftraggebers
    • Beschäftigte, Lieferanten und Geschäftspartner des Auftraggebers, deren personenbezogene Daten auf der Spreadmind Webseite des Auftraggebers erfasst werden
     

    4       Pflichten des Auftragnehmers

    (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

    (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

    (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

    (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

    (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

    (6) Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

    (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
    (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

    (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.

    (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

    (11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.


    5       Technische und organisatorische Maßnahmen

    (1) Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.

    (2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.

    (3) Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.

    (4) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

    (5) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

    (6) Die Verarbeitung von Daten in Privatwohnungen durch Mitarbeiter des Auftragnehmers ist gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird.

    (7) Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.

    (8) Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber spätestens alle 12 Monate unaufgefordert zu überlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.


    6       Regelungen zur Berichtigung, Löschung und Sperrung von Daten

    (1) Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.

    (2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.


    7       Unterauftragsverhältnisse

    (1) Die Beauftragung von Subunternehmern ist zugelassen, wenn diese zur Erfüllung des Hauptvertrags notwendig ist.

    (2) Die Beauftragung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und Subunternehmer.

    (3) Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.

    (4) Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.

    (5) Bei einer weiteren Subbeauftragung durch den Subunternehmer werden sämtliche Rechte und Pflichten dieser Vereinbarung mit Wirkung für den Auftraggeber auf Sub-Subunternehmer weiterübertragen und der Auftraggeber hat das Recht dies zu kontrollieren.

    (6) Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

    (7) Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat. Der Auftragnehmer hat dem Auftraggeber die Dokumentation unaufgefordert vorzulegen.

    (8) Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 4 (10) und (11) dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist.

    (9) Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätestens alle 12 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber nach Aufforderung vorzulegen.

    (10) Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.

    (11) Im Folgenden sind die mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer aufgelistet, die im Auftrag der Spreadmind GmbH personenbezogene Daten speichern und verarbeiten. Mit diesen Subunternehmern, die Daten der Besucher, Kunden, Lieferanten und Geschäftspartner des Auftragnehmers verarbeiten hat der Auftragnehmer einen Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO abgeschlossen.

    Name

    Zweck

    Anbieter

    Datenschutzerklärung
    Amazon AWS Cloud-Speicherdienst zum Webhosting und zur Speicherung von Dateiuploads bei Spreadmind Amazon Web Services, Inc. 410 Terry Avenue North Seattle WA 98109 United States https://aws.amazon.com/de/privacy/
    Clockodo Zeiterfassung clickbits GmbH Friedrich-Ebert-Str. 61 59425 Unna Deutschland https://www.clockodo.com/de/datenschutz/
    Easybill Erstellung von Abrechnungen easybill GmbH Düsselstr. 21 41564 Kaarst https://www.easybill.de/privacy
    Facebook Share-Button, Verfolgung des Nutzerverhaltens Facebook Ireland Ltd. 4 Grand Canal Square Grand Canal Harbour Dublin 2 Ireland https://www.facebook.com/about/privacy/
    Fastbill Buchhaltung FastBill GmbH Wildunger Str. 6 60487 Frankfurt am Main https://www.fastbill.com/datenschutz
    Getresponse Mailversand ( Versand von Transaktionsmails, Newsletter, automatisierte Newsletter) und CRM GetResponse Sp. z o.o. mit eingetragenem Geschäftssitz in Gdansk, Polen, ul. Arkonska 6, A3, 80-387 Gdansk https://www.getresponse.de/email-marketing/legal/datenschutz.html
    Google Analytics Nutzerstatistiken Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland http://www.google.com/analytics/privacyoverview.html
    Google Workspace E-Mail, Terminveraltung, CRM,  Dokumentenverwaltung Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland https://policies.google.com/privacy?hl=de
    Helpscout Ticketsystem für Supportanfragen Privacy Agent Help Scout Inc. 131 Tremont Street 3rd Floor Boston, MA 02111-1338 https://www.helpscout.net/company/privacy/
    Host Europe Domainanbieter und E-Mail-Konto sowie Webhosting Host Europe GmbH Back Office Daimlerstraße 9-11 50354 Hürth https://www.hosteurope.de/AGB/Datenschutzerklaerung/
    Novalnet Zahlungsabwicklung Novalnet AG Zahlungsinstitut (ZAG) Feringastraße 4 85774 Unterföhring Deutschland https://www.novalnet.de/novalnet-datenschutz
    PayPal Zahlungsabwicklung PayPal (Europe) S.à r.l. et Cie, S.C.A. 22-24 Boulevard Royal L-2449 Luxembourg https://www.paypal.com/de/webapps/mpp/ua/privacy-full?locale.x=de_DE
    Quaderno Rechnungserstellung Recrea Systems, SLU ('Recrea') Fernando Guanarteme 111 - 35010 Las Palmas, Spain https://quaderno.io/privacy/
    Sieger AG Buchhaltung, Jahresabschluss, Lohnabrechnung Sieger AG Wirtschaftsberatungsgesellschaft Steuerberatungsgesellschaft Treuhandgesellschaft Gosheimer Straße 26 78564 Wehingen https://www.sieger-ag.de/cms/de/datenschutzerklaerung/
    Timmehosting Webhosting Timme Hosting GmbH & Co. KG Ovelgönner Weg 43 21335 Lüneburg Deutschland https://timmehosting.de/datenschutz
    Wordpress Blog-System Wordpress San Francisco https://wordpress.org/about/privacy/


    (12) Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.


    8       Rechte und Pflichten des Auftraggebers

    (1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

    (2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.

    (3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

    (4) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.

    (5) Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 (8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.


    9       Mitteilungspflichten

    (1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
    • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
    • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    • eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen


    (2) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

    (3) Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

    (4) Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.


    10   Weisungen

    (1) Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

    (2) Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen in Anlage 2.

    (3) Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.

    (4) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

    (5) Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.


    11   Beendigung des Auftrags

    (1) Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399. Hierbei gilt mindestens Schutzklasse 1.

    (2) Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.

    (3) Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber unverzüglich vorzulegen.

    (4) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.


    12   Vergütung

    Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.


    13   Haftung

    (1) Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.

    (2) Der Auftragnehmer trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftragnehmer den Auftraggeber auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftraggeber erhoben werden. Unter diesen Voraussetzungen ersetzt der Auftragnehmer dem Auftraggeber ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.

    (3) Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.

    (4) Nummern (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.


    14   Sonderkündigungsrecht

    (1) Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

    (2) Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.

    (3) Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.

    (4) Der Auftragnehmer hat dem Auftraggeber alle Kosten zu erstatten, die diesem durch die verfrühte Beendigung des Hauptvertrages oder dieses Vertrages in Folge einer außerordentlichen Kündigung durch den Aufraggeber entstehen.


    15   Sonstiges

    (1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

    (2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

    (3) Für Nebenabreden ist die Schriftform erforderlich.

    (4) Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

    (5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.




  • Anlage 1: Technische und organisatorische Maßnahmen gemäß Art. 32 (1) DS-GVO für Auftragsverarbeiter (Art. 30 (2) lit. d DS-GVO)

  • Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.

    Version 1.1, Stand 07. Juni 2023



    1       Pseudonymisierung

    Als Auftragsverarbeiter trifft Spreadmind zusätzlich zu Maßnahmen, die sich aus den jeweiligen Leistungsbeschreibungen der Dienstleistungen ergeben oder durch den Verantwortlichen im Rahmen der Beauftragung vorgenommen werden, keine Maßnahmen zur Pseudonymisierung.


    2       Verschlüsselung

    Hierzu setzt Spreadmind für den elektronischen Transport Verschlüsselungsverfahren ein, die dem Stand der Technik entsprechen Dies sind für den elektronischen Transport zwischen Rechenzentrum
    • und Verantwortlichem: über VPN- oder TLS-Verbindung
    • und Einzelpersonen: personenbezogene Daten der Nutzer über Internet, abgesichert mit Verschlüsselungsverfahren nach dem Stand der Technik
    • und Dienstleistern der Spreadmind: VPN- oder TLS-Verbindung
    • und Mitarbeitern der Spreadmind: abgesichert mit Verschlüsselungsverfahren nach dem Stand der Technik
      Außerhalb des elektronischen Transports werden Verschlüsselungsverfahren eingesetzt, wenn dies in den Leistungsbeschreibungen der vereinbarten Leistungen dokumentiert ist. Festplatten von Remote-Arbeitsplatz-Rechnern (Laptops) werden standardisiert nur vollverschlüsselt eingesetzt.


    3       Vertraulichkeit

    3.1      Physikalische Sicherheit

    Rechnerraum und Datenträgerarchiv sind baulich voneinander getrennt. Die Zugänge zum Rechenzentrum sind ständig verschlossen. Zutritt zum Rechenzentrum haben grundsätzlich nur die den betreffenden Organisationseinheiten zugewiesenen Mitarbeiter. Bei dezentraler Datenverarbeitung sind die Arbeitsplatzrechner im allgemeinen Bürobereich untergebracht. Die Server stehen dabei wieder in einem ständig verschlossenen Raum. Auch hier haben nur wieder die hier zugewiesenen Mitarbeiter Zugang.

    Das von der Spreadmind GmbH verwendete Rechenzentrum genügt den höchsten technischen Ansprüchen, und bietet die fortschrittlichste Technologie in einer absolut sicheren Betriebsumgebung. Das Rechenzentrum stellt dabei maximale Up-time, umfassende redundante Konnektivität, Kunden-Support rund um die Uhr, störungsfreie Stromversorgung und absolute physische und virtuelle Sicherheit zur Verfügung.

    Das Rechenzentrum entspricht höchsten Standards in Bezug auf Zuverlässigkeit und Verfügbarkeit der Infrastruktur.

    Die Büroräume der Spreadmind GmbH sind mittels eines elektronischen Zutrittskontrollsystems und durch Schlüsselvergabe geschützt. Die Zugangscode- und Schlüsselvergabe und werden dokumentiert. Zutrittscodes werden regelmäßig ausgetauscht. Die Mitarbeiter haben darüber hinaus nur Zutritt zu den Räumen, zu denen Sie auch zugewiesen sind. Mitarbeiter, die in Kontakt mit sensiblen Daten gelangen, sind verpflichtet, Ihre Büroräume abzusperren. Nur diese Mitarbeiter gelangen in die jeweiligen Räume. Besucher werden vor der Gewährung des Zutritts zum Geschäftsbereich der Spreadmind GmbH überprüft (Klingel, Gegensprechanlage). Besucher werden dauerhaft überwacht. Reinigung der Räumlichkeiten findet nur unter Aufsicht statt. Büroräume werden bei Publikumsverkehr von Mitarbeitern beim Verlassen abgesperrt. Die Büroräume verfügen des Weiteren selbstverständlich über Feuerlöscher und über eine Brandmeldeanlage. Die DIN-Vorschriften zum Einbruch- und Brandschutz sind eingehalten.

    Die Räumlichkeiten sind in sich geschlossen und werden bewacht. Die Türen sind gegen Einbruch geschützt.

    3.2      Authentifizierung

    Die Zugangskontrolle an den Arbeitsplatzrechnern wird durch die Vergabe von Login-Namen und Passwörtern geschützt. Mitarbeiter sind angewiesen, sichere Passwörter zu verwenden, in definierten Abständen zu wechseln und nicht schriftlich niederzulegen oder weiterzugeben. Auch eingesetzte Softwareprodukte werden durch die Vergabe von Passwörtern vor unberechtigtem Zugang geschützt.

    3.3      Berechtigungskonzept

    Die Spreadmind GmbH verwendet des Weiteren Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei wird eine Differenzierung auf den Inhalt der Daten vorgenommen, als auch auf die möglichen Zugriffsfunktionen auf die Daten. Die Spreadmind GmbH hat dabei geeignete Kontrollmechanismen und Verantwortlichkeiten definiert, um die Vergabe und den Entzug von Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten. Der Systemadministrator wird regelmäßig seitens der Internen Revision der Spreadmind GmbH überwacht und überprüft.

    3.4      Weitergabe von Daten

    Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung werden Verschlüsselungstechniken eingesetzt. Die Spreadmind GmbH hat darüber hinaus organisatorische Maßnahmen getroffen (beispielsweise beim Datenträgertransport oder auch bei der Vernichtung von Datenträgern, beim Umgang mit USB-Sticks, SD-Speicherkarten etc.).

    3.5      Löschen von Daten

    Alle Datenträger werden nach dem Stand der Technik vernichtet.

    Magnetische Datenträger, die für den Austausch bestimmt sind, werden vor dem Beschreiben mit den zu übermittelnden Informationen physikalisch gelöscht.

    Sonstige Datenträger werden mit einem bestimmten Muster überschrieben.

    Der Einsatz von nicht-löschbaren Datenträgern (wie z. B. WORMs) findet nicht statt

    Die Aufbewahrungsfrist der Daten wird im Rahmen der Beauftragung durch den Kunden vorgegeben bzw. richtet sich nach den gesetzlichen Vorschriften (u.a. HGB, AO, GwG etc.)

    3.6      Trennungskontrolle

    Die Spreadmind GmbH hat diverse Maßnahmen zur Erfüllung des Prinzips der Zweckbindung umgesetzt. So ist die Verwendung derartiger Daten innerbetrieblich definiert und festgeschrieben. Zeiträume der Verarbeitung und des Speicherns der Daten sind auf das Maß zur Erreichung des Zwecks begrenzt.


    4       Integrität


    Protokollierung

    Bei den IT-Systemen erfolgt eine laufende Protokollierung der Abläufe.

    Die Dateneingabe und die Verarbeitung der im Auftrag verarbeiteten Daten erfolgen ausschließlich nach dem mit dem Auftraggeber festgelegten Verfahren.


    5       Verfügbarkeit

    5.1      Sicherstellen der Verfügbarkeit

    Die Spreadmind GmbH hat eine Vielzahl von Maßnahmen zum Schutz vor Zerstörung und Verlust von Daten und Datenverarbeitungsmaßnahmen getroffen. So führt die Spreadmind GmbH, tägliche und Backups mit einer 14 tägigen Aufbewahrungszeit durch. Daten werden somit auf externen Datenträgern gesichert. Die EDV Systeme sind durch RAID-Systeme vor Datenverlust geschützt. Darüber hinaus existieren Maßnahmen zur Einbruchsvorsorge, Diebstahlschutz, Brandschutz. Es existieren: Schutz vor Stromausfall, Virenbefall, Ausfallschutzmaßnahmen, Redundanzkonzepte sowie eine ordnungsgemäße Lizenzierung von Software etc.

    Die Stromversorgung für die IT-Systeme ist redundant aufgebaut und erlaubt über dynamische USV-Anlagen (Unterbrechungsfreie Stromversorgung) die Leistungsversorgung.

    Moderne Netzersatzanlagen ermöglichen den Betrieb des Rechenzentrums ohne Anbindung an das öffentliche Stromnetz.

    5.2      Zweckbindung

    Die Verarbeitung von Auftragsdaten erfolgt ausschließlich entsprechend dem Hauptvertrag mit dem Auftraggeber.


    6       Belastbarkeit der Systeme

    Spreadmind führt eine laufende Überwachung der Nutzung der Dienste und der Auslastung der Systeme durch. Spreadmind prognostiziert regelmäßig die künftige Nutzung, so dass die Kapazitäten der Systeme rechtzeitig angepasst werden können.

    Spreadmind legt die Speicher-, Zugriffs- und Leitungskapazitäten der Systeme und Dienste so aus, dass sie auch an Tagen planerischer Spitzenbelastung ohne merkliche Verzögerung von Zugriffs- oder Übertragungszeiten genutzt werden können.


    7       Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

    Die IT- Infrastruktur des Rechenzentrums ist grundsätzlich doppelt ausgelegt. Die personenbezogenen Daten werden grundsätzlich redundant gespeichert.

    Nach einem physischen oder technischen Ausfall eines Rechenzentrums übernimmt die Ersatz-Infrastruktur die Verarbeitung. Für alle IT- Systeme besteht ein Wiederanlaufkonzept, nach dem die Redundanz innerhalb festgelegter Fristen wiederhergestellt wird. Das Wiederanlaufkonzept wird laufend fortgeschrieben und regelmäßig auf Wirksamkeit geprüft.


    8       Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

    Die Wirksamkeit der Maßnahmen wird durch die Geschäftsführung der Spreadmind laufend geprüft.



  • Anlage 2 – Weisungsberechtige Personen

  • Folgende Personen sind zur Erteilung und Entgegennahme von Weisungen befugt: Geschäftsführer der Spreadmind GmbH
    Mario Schneider
    Graben 18
    78628 Rottweil
    Mail: mario@spreadmind.de



  • Zustimmung

  • Zustimmung

Der Vertrag zur Auftragsverarbeitung zwischen den oben genannten Parteien wird durch das Absenden dieses Formulars über den Klick auf den Button “Vertrag abschließen” online geschlossen. Eine Unterschrift ist seit dem Beginn der DSGVO nicht mehr nötig.

Den abgeschlossenen Vertrag kannst du dann auf der nächsten Seite herunterladen.

Unser Support:

Bei Fragen erreichst du unseren Support hier

Impressum | Rechtliche Hinweise