Auftragsverarbeitungsvertrag (AVV)
Pentalink Consulting GmbH als Auftragsverarbeiter · Kundenvorlage · Stand: Juni 2026
Wann dieser Vertrag greift
Pentalink schließt diesen AVV als Auftragsverarbeiter mit dem Kunden (Verantwortlicher) immer dann, wenn Pentalink personenbezogene Daten im Auftrag des Kunden verarbeitet – z. B. Betrieb/Entwicklung eines Kundenportals, BI/Analytics auf Kundendaten, Automatisierungen mit Personenbezug, Hosting kundenbezogener Inhalte.
Kein AVV nötig, wenn Pentalink reine Beratung ohne Zugriff auf personenbezogene Daten Dritter leistet oder nur eigene/Team-Daten verarbeitet.
Zweistufig: Kunde → Pentalink (dieser AVV) und Pentalink → Unterauftragsverarbeiter (deren AVVs, siehe Anlage 3).
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
dem Kunden gemäß Hauptvertrag – nachfolgend „Verantwortlicher" –
und
der Pentalink Consulting GmbH, Kastanienweg 6a, 18437 Stralsund, eingetragen im Handelsregister des Amtsgerichts Stralsund unter HRB 22928, vertreten durch den Geschäftsführer Sascha Lübow-Westendorf – nachfolgend „Auftragsverarbeiter" –
– einzeln „Partei", gemeinsam „Parteien" –
§ 1 Gegenstand, Dauer und Spezifizierung
(1) Gegenstand, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1.
(2) Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags, sofern sich aus den nachfolgenden Bestimmungen keine darüber hinausgehenden Verpflichtungen ergeben.
(3) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Raum der EU/des EWR, sofern nicht in Anlage 1 bzw. § 7 (Drittland) abweichend geregelt.
§ 2 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zu einer anderweitigen Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
(2) Weisungen werden in Textform erteilt und dokumentiert. Mündliche Weisungen werden unverzüglich in Textform bestätigt.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt. Er ist berechtigt, die Durchführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.
§ 3 Pflichten des Auftragsverarbeiters
(1) Vertraulichkeit: Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet und mit den relevanten Datenschutzbestimmungen vertraut gemacht wurden (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO).
(2) Sicherheit der Verarbeitung: Der Auftragsverarbeiter hält die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO ein; diese sind in Anlage 2 beschrieben.
(3) Unterstützung: Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Wahrung der Betroffenenrechte (Art. 12–23), bei Datenschutz-Folgenabschätzungen (Art. 35) und der vorherigen Konsultation (Art. 36).
(4) Datenschutzbeauftragter / Ansprechpartner: Der Auftragsverarbeiter benennt einen Ansprechpartner für Datenschutzfragen (Kontakt: info@pentalink.de).
(5) Nachweis: Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung (Art. 28 Abs. 3 lit. h).
§ 4 Betroffenenrechte
Wendet sich eine betroffene Person mit Auskunfts-, Berichtigungs-, Lösch- oder anderen Ansprüchen unmittelbar an den Auftragsverarbeiter, leitet dieser das Ersuchen unverzüglich an den Verantwortlichen weiter und beantwortet es nicht selbst, sofern nicht anders angewiesen.
§ 5 Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, und unterstützt ihn bei dessen Pflichten nach Art. 33, 34 DSGVO. Die Meldung enthält mindestens die in Art. 33 Abs. 3 genannten Angaben, soweit verfügbar.
§ 6 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügen/Ersetzen) vorab in Textform. Der Verantwortliche kann innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen.
(3) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter auf dieselben Datenschutzpflichten, wie sie in diesem Vertrag festgelegt sind (Art. 28 Abs. 4).
(4) Nicht als Unterauftragsverarbeitung gelten Nebenleistungen wie Telekommunikations- oder Wartungsleistungen ohne konkreten Bezug zu den Verarbeitungstätigkeiten.
§ 7 Drittlandübermittlung
Eine Verarbeitung in einem Drittland erfolgt nur, wenn die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind (Angemessenheitsbeschluss, EU-Standardvertragsklauseln, ggf. Data Privacy Framework). Die betroffenen Unterauftragsverarbeiter und Transfermechanismen sind in Anlage 3 gekennzeichnet.
§ 8 Kontroll- und Auditrechte
Der Verantwortliche ist berechtigt, sich von der Einhaltung der Pflichten zu überzeugen – vorrangig durch Vorlage geeigneter Nachweise (z. B. Zertifikate, Auditberichte, Selbstauskunft). Vor-Ort-Kontrollen erfolgen nach rechtzeitiger Ankündigung, während der Geschäftszeiten und ohne Störung des Betriebsablaufs.
§ 9 Löschung und Rückgabe
Nach Abschluss der Verarbeitung löscht oder retourniert der Auftragsverarbeiter – nach Wahl des Verantwortlichen – alle personenbezogenen Daten und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g).
§ 10 Haftung und Schlussbestimmungen
(1) Für die Haftung gilt Art. 82 DSGVO; im Übrigen die Regelungen des Hauptvertrags.
(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.
(3) Änderungen bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.
Anlage 1 – Gegenstand der Verarbeitung
| Gegenstand | wird je Auftrag festgelegt (z. B. Betrieb Kundenportal, BI-Auswertung, Automatisierung) |
|---|---|
| Art der Verarbeitung | Erheben, Speichern, Auswerten, Übermitteln (nach Weisung) |
| Zweck | Erbringung der im Hauptvertrag vereinbarten Leistungen |
| Kategorien betroffener Personen | wird je Auftrag festgelegt (z. B. Kunden, Endnutzer, Mitarbeitende des Verantwortlichen) |
| Kategorien personenbezogener Daten | wird je Auftrag festgelegt (z. B. Stammdaten, Kontaktdaten, Nutzungsdaten) |
| Besondere Kategorien (Art. 9) | i. d. R. keine – sonst im Einzelvertrag spezifiziert |
| Verarbeitungsort | EU/EWR (ggf. Drittland gemäß § 7) |
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32)
- Zutritts-/Zugangskontrolle: Cloud-Infrastruktur ohne physischen Zugriff; Zugang über Google-Login/SSO, MFA verpflichtend; Firewall-Absicherung der VPS.
- Zugriffskontrolle: Rollenbasierte Berechtigungen (Least Privilege), getrennte Mandanten/Projekte, Passwort-Manager.
- Verschlüsselung: TLS 1.2+ in Transit, Verschlüsselung at rest bei eingesetzten Diensten.
- Pseudonymisierung/Minimierung: Datenminimierung, wo möglich Pseudonymisierung vor Weitergabe an KI-/Analyse-Subprozessoren.
- Verfügbarkeit/Wiederherstellung: Backups, Wiederanlaufkonzept (BCM/IRP).
- Trennungskontrolle: Mandantentrennung pro Kunde.
- Überprüfung: regelmäßige Prüfung der Wirksamkeit der Maßnahmen; Subprozessoren mit C5/ISO 27001/SOC 2 bevorzugt.
Anlage 3 – Unterauftragsverarbeiter & Data Tiers
Gemäß § 6 erteilt der Verantwortliche eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Diese werden nach Schutzbedarf in Data-Tier-Stufen geführt; daraus ergibt sich, welche Dienste je Projekt eingesetzt werden dürfen — von ausschließlich besonders geprüften Diensten bis hin zu breiter zugelassenen Lösungen für gering sensible Einsätze. Höhere Stufen sind strenger: Eine für „High Security" freigegebene Lösung ist auch in den darunterliegenden Stufen zulässig — umgekehrt nicht.
Für hochregulierte und KRITIS-nahe Projekte sowie besondere Datenkategorien. Es kommen ausschließlich besonders geprüfte Dienste zum Einsatz; Verarbeitung bevorzugt in der EU/EWR, Drittlandtransfer nur mit belastbaren Garantien (SCC/DPF) — oder self-hosted in eigener Infrastruktur.
Aktuelle Subprozessor-Liste anfragen →Für reguläre B2B-Projekte mit Personenbezug. Verarbeitung in der EU/EWR oder bei Diensten mit abgeschlossenem AVV und geeigneten Garantien (Standardvertragsklauseln, Data Privacy Framework).
Aktuelle Subprozessor-Liste anfragen →Für gering sensible Einsätze ohne kritischen Personenbezug. Hier sind auch Drittland-Dienste mit geeigneten Garantien (SCC/DPF) zulässig.
Aktuelle Subprozessor-Liste anfragen →Hinweis: Die Dienstleister für den Betrieb dieser Website (Hosting, Formulare) sind gesondert in unserer Datenschutzerklärung aufgeführt.
← Zurück zur Startseite