Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

AVV (Auftragsverarbeitungsvertrag)

Facility Management: FM-Software » Ausschreibung » ÖFFENTLICHE / AN BIETER AUSGEGEBENE VERGABEUNTERLAGEN » AVV (Auftragsverarbeitungsvertrag)

Auftragsverarbeitungsvertrag AVV als Bestandteil der CAFM-Vergabeunterlagen zum Datenschutz

AVV (Auftragsverarbeitungsvertrag) – Muster

(1) Der Verantwortliche (Auftraggeber) betreibt ein CAFM‑System zur Unterstützung von Prozessen im Facility Management. Hierzu zählen insbesondere die Erfassung, Verwaltung und Auswertung von Daten zu Gebäuden, technischen Anlagen, Flächen, Nutzern und Dienstleistungsverträgen.

(2) Der Auftragsverarbeiter (Auftragnehmer) erbringt im Rahmen des CAFM‑Projekts Leistungen im Bereich Softwarebereitstellung, Hosting, Betrieb, Support, Wartung und Weiterentwicklung sowie ggf. Beratungs‑ und Projektdienstleistungen. Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

(3) Dieser Auftragsverarbeitungsvertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit den im Hauptvertrag vereinbarten CAFM‑Leistungen. Im Falle von Widersprüchen zwischen Hauptvertrag und diesem AVV gehen die Regelungen dieses AVV in Bezug auf die Auftragsverarbeitung vor, soweit dies datenschutzrechtlich erforderlich ist.

(4) Die Parteien schließen diesen AVV in der nachfolgenden Fassung. Angaben, die im Vergabeverfahren noch nicht konkretisiert werden können, sind als [PLATZHALTER] gekennzeichnet und werden im Rahmen der Zuschlagserteilung bzw. Vertragsunterzeichnung ausgefüllt.

AVV-Muster für CAFM-Ausschreibungen

Verantwortlicher (Auftraggeber)

  • Firma / Behörde / Organisation: [PLATZHALTER – Name Verantwortlicher]

  • Rechtsform: [PLATZHALTER – z. B. GmbH, AG, Körperschaft des öffentlichen Rechts]

  • Anschrift (Straße, PLZ, Ort, Land): [PLATZHALTER]

  • Vertreten durch (Organ / Vertretungsberechtigter): [PLATZHALTER]

  • Zuständige Organisationseinheit: [PLATZHALTER – z. B. Abteilung FM / Zentrale Dienste]

Auftragsverarbeiter (Auftragnehmer)

  • Firma: [PLATZHALTER – Name Auftragsverarbeiter]

  • Rechtsform: [PLATZHALTER]

  • Anschrift (Straße, PLZ, Ort, Land): [PLATZHALTER]

  • Vertreten durch (Organ / Vertretungsberechtigter): [PLATZHALTER]

  • Zuständige Organisationseinheit: [PLATZHALTER – z. B. Professional Services / Operations]

Ansprechpartner Datenschutz

  • Ansprechpartner beim Verantwortlichen: [PLATZHALTER – Name / Funktion]

  • E‑Mail / Telefon: [PLATZHALTER]

  • Datenschutzbeauftragter des Verantwortlichen (falls vorhanden): [PLATZHALTER]

  • Ansprechpartner beim Auftragsverarbeiter: [PLATZHALTER – Name / Funktion]

  • E‑Mail / Telefon: [PLATZHALTER]

  • Datenschutzbeauftragter des Auftragsverarbeiters (falls vorhanden): [PLATZHALTER]

Der Auftragsverarbeiter erbringt folgende Leistungen im Zusammenhang mit dem CAFM‑System:

  • Bereitstellung der CAFM‑Software: [PLATZHALTER – Produktname / Modulübersicht]

  • Betriebsmodell: [PLATZHALTER – z. B. SaaS / Hosting durch Auftragnehmer / Hosting beim Auftraggeber / Hybrid]

  • Support‑ und Wartungsleistungen: [PLATZHALTER – Service Desk, Störungsbehebung, Updates / Upgrades]

  • Projekt‑ und Beratungsleistungen: [PLATZHALTER – Implementierung, Customizing, Schnittstellen, Migration]

  • Leistungen mit Datenverarbeitung: [PLATZHALTER]

Laufzeit

  • Laufzeit dieses AVV: [PLATZHALTER – z. B. identisch mit Laufzeit Hauptvertrag / Beginn und Ende]

  • Beginn der Verarbeitung: [PLATZHALTER – Datum / Ereignis, z. B. Systembereitstellung]

  • Beendigung der Verarbeitung: [PLATZHALTER – z. B. Vertragsende / Ende von Übergangs- oder Migrationsphasen]

Soweit im Hauptvertrag kürzere oder längere Fristen für Übergabe, Rückgabe und Löschung vereinbart werden, gelten diese ergänzend, sofern sie mit den Vorgaben dieses AVV vereinbar sind.

Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich zu folgenden Zwecken im Auftrag des Verantwortlichen:

  • Betrieb eines CAFM‑Systems zur Unterstützung des Facility Managements

  • [PLATZHALTER – z. B. Instandhaltungsmanagement, Asset‑Management, Flächen‑ und Belegungsmanagement]

  • [PLATZHALTER – z. B. Ticket‑/Störungsmanagement, Auftrags- und Dienstleistersteuerung]

  • [PLATZHALTER – z. B. Besuchermanagement, Schlüssel-/Zutrittsverwaltung]

  • [PLATZHALTER – z. B. Reporting, Controlling, Berichterstattung]

Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters ist ausgeschlossen.

Im Rahmen der oben genannten Zwecke führt der Auftragsverarbeiter insbesondere folgende Verarbeitungsvorgänge durch:

  • Erheben / Erfassen von Daten: [PLATZHALTER – z. B. Anlage von Nutzerkonten, Import von Bestandsdaten]

  • Speichern und Organisieren von Daten in Datenbanken: [PLATZHALTER]

  • Ändern, Aktualisieren und Pflegen von Datenbeständen

  • Auslesen, Abfragen und Auswerten von Daten (z. B. Berichte, Dashboards)

  • Übermitteln von Daten an berechtigte Empfänger nach Weisung des Verantwortlichen

  • Pseudonymisieren oder Anonymisieren (sofern vereinbart): [PLATZHALTER – Ja/Nein und Beschreibung]

  • Löschen und Vernichten von Daten gemäß Löschkonzept

  • Erstellung von Sicherungskopien (Backups) und Wiederherstellung im Rahmen der Notfallvorsorge

Rechtsgrundlagen

Die Bestimmung der Rechtsgrundlagen für die Verarbeitung obliegt ausschließlich dem Verantwortlichen. Der Verantwortliche stellt sicher, dass die Verarbeitung der personenbezogenen Daten im CAFM‑System auf einer geeigneten Rechtsgrundlage im Sinne der DSGVO beruht.

  • Verwendete Rechtsgrundlagen (vom Verantwortlichen zu definieren): [PLATZHALTER – z. B. Art. 6 Abs. 1 lit. b, c, e, f DSGVO]

Im Rahmen der CAFM‑Leistungen können insbesondere Daten folgender Kategorien betroffener Personen verarbeitet werden:

  • Beschäftigte des Verantwortlichen (inkl. Beamte / Angestellte / Auszubildende): [PLATZHALTER – Ja/Nein]

  • Beschäftigte von Dienstleistern / Fremdfirmen: [PLATZHALTER – Ja/Nein]

  • Besucher / Gäste: [PLATZHALTER – Ja/Nein]

  • Ansprechpartner bei Lieferanten, Dienstleistern und Geschäftspartnern: [PLATZHALTER]

  • Sonstige Personengruppen: [PLATZHALTER – Beschreibung]

Je nach Einsatzszenario können u. a. folgende Datenkategorien verarbeitet werden:

  • Stammdaten (z. B. Name, Personalnummer, Organisationseinheit): [PLATZHALTER]

  • Kontaktdaten (z. B. berufliche Telefonnummer, E‑Mail): [PLATZHALTER]

  • Nutzer‑/Account‑Daten (z. B. Benutzerkennung, Rollen, Berechtigungen): [PLATZHALTER]

  • Ticket‑, Auftrag‑ und Vorgangsdaten (z. B. Meldungen, Störungen, Auftragsverläufe): [PLATZHALTER]

  • Protokoll‑ und Log‑Daten (z. B. Login‑Protokolle, Zugriffsprotokolle, Änderungsverläufe): [PLATZHALTER]

  • Standort‑ oder Flächenbezüge (z. B. Zuordnung zu Gebäude, Raum, Arbeitsplatz): [PLATZHALTER]

  • Sonstige Datenkategorien: [PLATZHALTER]

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

  • Verarbeitung besonderer Kategorien von Daten vorgesehen: [PLATZHALTER – Ja/Nein]

  • Falls Ja: Kategorien und Zweck der Verarbeitung: [PLATZHALTER – z. B. Gesundheitsdaten im Rahmen arbeitsmedizinischer Prozesse]

  • Zusätzliche Schutzmaßnahmen: [PLATZHALTER – z. B. strenge Rollen, Pseudonymisierung]

Grundsatz

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich nach dokumentierten Weisungen des Verantwortlichen. Dies gilt auch für die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern nicht eine unionsrechtliche oder mitgliedstaatliche Verpflichtung besteht.

Form der Weisungen

  • Grundsätzliche Weisungen (z. B. bei Vertragsschluss): [PLATZHALTER – z. B. in Schriftform / Vertragsdokumenten]

  • Laufende Weisungen: [PLATZHALTER – z. B. per Ticket‑System, E‑Mail, freigegebenem Change‑Prozess]

  • Dokumentation von Weisungen: [PLATZHALTER – z. B. im Ticket‑System / Change‑Protokoll]

Weisungsberechtigte Personen

  • Weisungsberechtigte beim Verantwortlichen: [PLATZHALTER – Funktion / Rollen]

  • Verfahren zur Legitimation / Prüfung von Weisungen: [PLATZHALTER]

Umgang mit offensichtlich rechtswidrigen Weisungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Die Umsetzung der Weisung wird bis zur Bestätigung bzw. Anpassung durch den Verantwortlichen ausgesetzt.

Der Auftragsverarbeiter verpflichtet sich insbesondere zu folgenden Pflichten:

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen

  • Sicherstellung der Vertraulichkeit der zur Verarbeitung befugten Personen

  • Verpflichtung auf Vertraulichkeit / Datenschutz: [PLATZHALTER – Beschreibung Verfahren]

  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs) gemäß Anlage 1

  • Unterstützung des Verantwortlichen bei der Wahrung der Betroffenenrechte

  • Unterstützung bei der Einhaltung von Pflichten nach Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, DPIA etc.)

  • Führung von Verzeichnissen der Verarbeitungstätigkeiten (soweit erforderlich)

  • Dokumentation und Nachweis der Einhaltung der in diesem Vertrag getroffenen Verpflichtungen

  • Unverzügliche Information des Verantwortlichen bei schwerwiegenden Störungen, Verdacht auf Datenschutzverletzungen oder anderen sicherheitsrelevanten Vorfällen

(Detailregelungen siehe einzelne Paragraphen dieses AVV.)

Grundsatz

Der Auftragsverarbeiter verpflichtet sich, ein dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau gemäß Art. 32 DSGVO zu gewährleisten.

Die im Zeitpunkt des Vertragsschlusses geltenden technischen und organisatorischen Maßnahmen sind in Anlage 1 – TOM‑Katalog beschrieben:

  • Geltungsbereich und Scope: [PLATZHALTER]

  • Stand / Versionsdatum: [PLATZHALTER]

Mindestens sind insbesondere folgende Bereiche abzudecken:

  • Zugriffskontrolle (physisch und logisch): [PLATZHALTER – z. B. Rollen‑ und Rechtekonzept, „Need‑to‑know“]

  • Authentifizierung / Passwort‑/Identity‑Management: [PLATZHALTER]

  • Verschlüsselung (Transport / Ruhende Daten): [PLATZHALTER]

  • Protokollierung / Logging und regelmäßige Auswertung: [PLATZHALTER]

  • Patch‑ und Schwachstellenmanagement: [PLATZHALTER]

  • Backup‑ und Wiederherstellungskonzepte / Disaster Recovery: [PLATZHALTER]

  • Sicherheitsrichtlinien, Schulungen, Awareness: [PLATZHALTER]

Änderungen der TOMs sind zulässig, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind dem Verantwortlichen anzuzeigen.

Einsatz von Unterauftragsverarbeitern

Der Auftragsverarbeiter darf zur Erfüllung der vertraglichen Leistungen Unterauftragsverarbeiter einsetzen, sofern die Vorgaben dieses AVV eingehalten werden.

Genehmigungsverfahren

  • Einzelfallgenehmigung

  • Allgemeine Genehmigung mit Widerspruchsrecht

  • [PLATZHALTER – konkret festzulegen]

Verpflichtung zur Weitergabe der AVV‑Pflichten (Flow‑down)

Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich mindestens auf das in diesem AVV festgelegte Datenschutzniveau.

Dies umfasst insbesondere Verpflichtungen zu:

  • TOMs

  • Vertraulichkeit

  • Unterstützung des Verantwortlichen

  • Löschung / Rückgabe von Daten

  • Audit- und Kontrollrechten

Die jeweils aktuelle Liste der genehmigten Unterauftragsverarbeiter ist in Anlage 2 enthalten:

  • Bezeichnung Unterauftragsverarbeiter: [PLATZHALTER]

  • Sitz / Land: [PLATZHALTER]

  • Leistung / Rolle im CAFM‑Betrieb: [PLATZHALTER]

  • Datenkategorien / Betroffene Personen: [PLATZHALTER]

  • Drittlandsbezug: [PLATZHALTER – Ja/Nein]

Grundsatz

Eine Übermittlung personenbezogener Daten in Drittländer erfolgt ausschließlich, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

Geeignete Garantien

  • Verwendete Transferinstrumente (z. B. EU‑Standardvertragsklauseln, Angemessenheitsbeschluss): [PLATZHALTER]

  • Beschreibung des Drittlandbezugs: [PLATZHALTER]

  • Verweis auf ergänzende technische / organisatorische Maßnahmen: [PLATZHALTER]

Dokumentationspflicht und Vorabinformation

Der Auftragsverarbeiter dokumentiert bestehende Drittlandübermittlungen und informiert den Verantwortlichen vor Aufnahme oder Änderung entsprechender Übermittlungen. Details können in einer separaten Anlage [PLATZHALTER – z. B. Anlage 3 „Drittlandtransfers“] beschrieben werden.

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Maßgabe von Art. 28 Abs. 3 lit. e DSGVO bei der Erfüllung von Betroffenenrechten, insbesondere:

  • Auskunft (Art. 15 DSGVO)

  • Berichtigung (Art. 16 DSGVO)

  • Löschung (Art. 17 DSGVO)

  • Einschränkung der Verarbeitung (Art. 18 DSGVO)

  • Datenübertragbarkeit (Art. 20 DSGVO)

  • Widerspruch (Art. 21 DSGVO)

Prozess und Fristen

  • Meldeweg für Betroffenenanfragen: [PLATZHALTER – z. B. zentraler Kontakt / Ticket‑Prozess]

  • Regelfrist für Umsetzung durch Auftragsverarbeiter: [PLATZHALTER – z. B. x Werktage]

  • Dokumentation der Bearbeitung: [PLATZHALTER]

Meldepflicht

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von [PLATZHALTER – z. B. 24/48 Stunden] nach Kenntniserlangung, jede Verletzung des Schutzes personenbezogener Daten, die für den Verantwortlichen relevant sein kann.

Meldeweg / Ansprechpartner

  • Meldeweg (z. B. E‑Mail‑Adresse / Ticket‑System / Hotline): [PLATZHALTER]

  • Zuständige Ansprechpartner: [PLATZHALTER]

Soweit möglich, umfasst die Meldung insbesondere:

  • Beschreibung der Art der Verletzung (Kategorien und ungefähre Anzahl betroffener Personen / Datensätze)

  • Beschreibung der wahrscheinlichen Folgen

  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung möglicher nachteiliger Folgen

  • Informationen zur weiteren Zusammenarbeit mit dem Verantwortlichen und ggf. Aufsichtsbehörden

Datenschutz‑Folgenabschätzung (DPIA)

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung von Datenschutz‑Folgenabschätzungen nach Art. 35 DSGVO und ggf. erforderlichen Konsultationen der Aufsichtsbehörden nach Art. 36 DSGVO, insbesondere durch:

  • Bereitstellung relevanter System- und Prozessdokumentationen: [PLATZHALTER]

  • Beschreibung der TOMs und des Sicherheitsniveaus

  • Unterstützung bei Risikoanalysen und Maßnahmenplanung

Anfragen von Aufsichtsbehörden

Anfragen von Aufsichtsbehörden, die sich unmittelbar auf die im Rahmen dieses AVV verarbeiteten Daten beziehen, werden vom Auftragsverarbeiter unverzüglich an den Verantwortlichen weitergeleitet, sofern keine rechtliche Verpflichtung zur unmittelbaren Beantwortung besteht. Die Abstimmung über Antworten erfolgt zwischen den Parteien.

Kontrollrechte / Audit

Der Verantwortliche ist berechtigt, die Einhaltung der in diesem AVV vereinbarten Pflichten in angemessenem Umfang zu prüfen oder durch unabhängige Prüfer prüfen zu lassen.

Formen der Kontrolle

  • Dokumentenprüfung (z. B. Zertifikate, Auditberichte, Richtlinien): [PLATZHALTER]

  • Remote‑Audit (z. B. Videokonferenzen, Screen‑Sharing): [PLATZHALTER]

  • On‑Site‑Audit beim Auftragsverarbeiter oder dessen Unterauftragsverarbeitern (nach Vereinbarung): [PLATZHALTER]

Rahmenbedingungen

  • Angemessene Vorlaufzeit für Vorankündigungen: [PLATZHALTER – z. B. x Werktage]

  • Maximalhäufigkeit von Audits (sofern keine besonderen Anlässe): [PLATZHALTER]

  • Vertraulichkeit: Der Verantwortliche trägt dafür Sorge, dass im Rahmen von Audits erhaltene Informationen vertraulich behandelt werden und nur für Zwecke der Datenschutzkontrolle genutzt werden.

Soweit vorhanden und zulässig, kann der Auftragsverarbeiter dem Verantwortlichen zur Reduzierung des Auditaufwands insbesondere folgende Nachweise zur Verfügung stellen:

  • Gültige Zertifikate (z. B. ISO 27001, ISO 9001, SOC 2): [PLATZHALTER]

  • Zusammenfassungen externer Audits oder Penetrationstests: [PLATZHALTER]

  • Relevante interne Richtlinien und Prozessbeschreibungen: [PLATZHALTER]

Rückgabe von Daten

Nach Beendigung der vertraglichen Leistungen hat der Auftragsverarbeiter alle personenbezogenen Daten nach Weisung des Verantwortlichen zurückzugeben oder zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

  • Rückgabeformat(e): [PLATZHALTER – z. B. CSV, SQL‑Dump, Exportpaket, Schnittstellenexport]

  • Frist zur Rückgabe: [PLATZHALTER – z. B. x Tage nach Vertragsende]

Löschung

  • Endgültige Löschung der Daten aus produktiven Systemen: [PLATZHALTER – Frist / Prozessbeschreibung]

  • Löschung oder Anonymisierung in Test‑ und Entwicklungssystemen: [PLATZHALTER]

  • Dokumentation der Löschung und Bereitstellung einer Löschbestätigung: [PLATZHALTER – z. B. standardisiertes Löschprotokoll]

Backups

  • Umgang mit Daten in Sicherungskopien: [PLATZHALTER – z. B. Löschung im Rahmen regulärer Backup‑Zyklen]

  • Maximaler Zeitraum bis zur endgültigen Unzugänglichkeit der Daten in Backups: [PLATZHALTER – z. B. x Monate]

Haftungsregelung

Die Haftung der Parteien hinsichtlich dieses AVV richtet sich nach den im Hauptvertrag getroffenen Regelungen, sofern nicht zwingende datenschutzrechtliche Vorgaben entgegenstehen.

  • Verweis auf Haftungsklausel Hauptvertrag: [PLATZHALTER – Klauselnummer / Abschnitt]

Die datenschutzrechtlichen Verantwortlichkeiten gemäß DSGVO bleiben unberührt:

  • Der Verantwortliche ist gegenüber betroffenen Personen und Aufsichtsbehörden primär verantwortlich.

  • Der Auftragsverarbeiter haftet im Rahmen der gesetzlichen Vorgaben und der vertraglichen Vereinbarungen für Verstöße gegen seine Pflichten aus diesem AVV.

Rangfolge von AVV und Hauptvertrag

Im Falle von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen zwischen den Parteien (insbesondere dem Hauptvertrag) gehen die Bestimmungen dieses AVV den übrigen Regelungen vor, soweit sie die Auftragsverarbeitung im Sinne der DSGVO betreffen.

Schriftform

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform, soweit nicht strengere gesetzliche Formerfordernisse gelten. Dies gilt auch für eine Änderung dieser Schriftformklausel.

  • Verfahren zur Dokumentation von Änderungen: [PLATZHALTER]

Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden die unwirksame oder undurchführbare Bestimmung durch eine wirksame Regelung ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

Gerichtsstand und anwendbares Recht

  • Anwendbares Recht: [PLATZHALTER – z. B. Recht der Bundesrepublik Deutschland]

  • Gerichtsstand: [PLATZHALTER – z. B. Sitz des Verantwortlichen]

Priorität der Vertragssprache

Soweit von diesem AVV Übersetzungen (z. B. englische Fassung) existieren, ist bei Auslegungsunterschieden die [PLATZHALTER – z. B. deutsche] Fassung maßgeblich.

Unterschriften

  • Ort: [PLATZHALTER]

  • Datum: [PLATZHALTER]

Verantwortlicher (Auftraggeber)

  • Name (in Druckbuchstaben): [PLATZHALTER]

  • Funktion / Rolle: [PLATZHALTER]

  • Unterschrift: [PLATZHALTER]

Auftragsverarbeiter (Auftragnehmer)

  • Name (in Druckbuchstaben): [PLATZHALTER]

  • Funktion / Rolle: [PLATZHALTER]

  • Unterschrift: [PLATZHALTER]