Vertrag zur Auftragsverarbeitung

gemäß Art. 28 DSGVO

Version vom 22.06.2026

Vertragsparteien

Verantwortlicher (Auftraggeber)

[Firma / Name des Kunden]
[Straße und Hausnummer]
[PLZ und Ort]
vertreten durch: [vertretungsberechtigte Person]
– nachfolgend „Verantwortlicher" –

Auftragsverarbeiter

Timon Dürr Consulting
Inhaber: Timon Dürr
Zwergsteigstraße 14, 78048 Villingen-Schwenningen
E-Mail: start@createsmart.business
– nachfolgend „Auftragsverarbeiter" –

– gemeinsam die „Parteien" –

§ 1 Gegenstand, Art und Zweck der Verarbeitung

  1. Der Auftragsverarbeiter erbringt für den Verantwortlichen Beratungs- und Umsetzungsleistungen (u. a. Strategie-, KI-, Team- und Organisationsberatung, Markt- und Mitarbeiterbefragungen, Dokumentation und damit verbundene Aufgaben) gemäß dem zwischen den Parteien geschlossenen Hauptvertrag bzw. angenommenen Angebot („Hauptvertrag").
  2. Im Rahmen dieser Leistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen. Gegenstand, Art und Zweck der Verarbeitung, die Art der Daten und die Kategorien betroffener Personen ergeben sich aus diesem Vertrag und aus Anhang 1.
  3. Die Verarbeitung findet ausschließlich innerhalb der in Anhang 2 genannten Verarbeiterkette statt. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt, soweit nicht in diesem Vertrag ausdrücklich geregelt (vgl. § 9 Abs. 5 zu anonymisierten Ergebnissen).

§ 2 Dauer

Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Über dessen Beendigung hinaus gelten die Pflichten dieses Vertrags fort, solange der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeitet oder aufbewahrt.

§ 3 Weisungsrecht des Verantwortlichen

  1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zu einer anderen Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
  2. Weisungen erfolgen grundsätzlich in Textform (z. B. E-Mail). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
  3. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Er ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie bestätigt oder geändert wird.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • die Verarbeitung ausschließlich nach Weisung des Verantwortlichen durchzuführen;
  • die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten, soweit diese nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO);
  • die technischen und organisatorischen Maßnahmen nach Anhang 3 einzuhalten und während der Vertragslaufzeit aufrechtzuerhalten (Art. 32 DSGVO);
  • den Verantwortlichen unverzüglich zu informieren, wenn ihm Verstöße gegen den Schutz personenbezogener Daten bekannt werden (vgl. § 7);
  • den Verantwortlichen bei der Wahrung der Betroffenenrechte sowie bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen zu unterstützen (vgl. § 6);
  • dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen zu ermöglichen (vgl. § 8);
  • die Daten nach Beendigung der Leistung nach Maßgabe von § 9 zu löschen oder zurückzugeben.

Ein etwaiger Datenschutzbeauftragter wird – soweit eine Benennungspflicht besteht – dem Verantwortlichen auf Anfrage benannt. Für den Auftragsverarbeiter besteht derzeit keine gesetzliche Benennungspflicht.

§ 5 Unterauftragsverhältnisse (Sub-Prozessoren)

  1. Der Verantwortliche stimmt dem Einsatz der in Anhang 2 aufgeführten Unterauftragsverarbeiter zu. Diese Zustimmung umfasst die dort genannten Dienste und Verarbeitungsorte.
  2. Der Auftragsverarbeiter darf weitere Unterauftragsverarbeiter hinzuziehen oder bestehende austauschen. Er informiert den Verantwortlichen über beabsichtigte Änderungen vorab durch Aktualisierung der online geführten Unterauftragsverarbeiter-Liste sowie per E-Mail an die zuletzt benannte Kontaktadresse.
  3. Der Verantwortlicher kann einer Änderung innerhalb von 14 Tagen ab Zugang der Information aus wichtigem, datenschutzrechtlich begründetem Grund in Textform widersprechen. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Änderung als genehmigt.
  4. Im Fall eines berechtigten Widerspruchs sind die Parteien bemüht, eine einvernehmliche Lösung zu finden. Gelingt dies nicht und kann der Auftragsverarbeiter die Leistung ohne den betreffenden Unterauftragsverarbeiter nicht mit zumutbarem Aufwand erbringen, steht beiden Parteien ein außerordentliches Kündigungsrecht hinsichtlich der betroffenen Leistung zu.
  5. Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter im Wege eines Vertrags datenschutzrechtliche Pflichten auf, die den Pflichten dieses Vertrags entsprechen (Art. 28 Abs. 4 DSGVO).
  6. Reine Neben-/Hilfsleistungen (z. B. Telekommunikation, Wartung, Reinigung) gelten nicht als Unterauftragsverarbeitung im Sinne dieses Vertrags.

§ 6 Unterstützung des Verantwortlichen

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen auf Wahrnehmung ihrer Rechte (Art. 12–23 DSGVO) zu beantworten. Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter.
  2. Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation), unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten

  1. Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, in der Regel innerhalb von 48 Stunden nach Bekanntwerden.
  2. Die Meldung enthält mindestens: eine Beschreibung der Art der Verletzung, die betroffenen Kategorien und die ungefähre Zahl betroffener Personen und Datensätze, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen.
  3. Die Meldung an die Aufsichtsbehörde und ggf. an betroffene Personen obliegt dem Verantwortlichen.

§ 8 Nachweise und Überprüfung

  1. Der Auftragsverarbeiter weist die Einhaltung der ihm obliegenden Pflichten auf Anforderung in geeigneter Weise nach, etwa durch Selbstauskünfte, Bestätigungen, vorhandene Zertifikate oder Berichte.
  2. Reichen diese nicht aus, ermöglicht der Auftragsverarbeiter dem Verantwortlichen oder einem von diesem beauftragten, zur Verschwiegenheit verpflichteten Prüfer Überprüfungen – einschließlich Inspektionen – zu den üblichen Geschäftszeiten nach angemessener Vorankündigung (in der Regel mindestens 14 Tage), ohne den Betriebsablauf unverhältnismäßig zu stören.
  3. Über Abs. 1 hinausgehende, mit erheblichem Aufwand verbundene Prüfungen kann der Auftragsverarbeiter gegen angemessene Vergütung anbieten.

§ 9 Löschung, Rückgabe und Aufbewahrung

  1. Nach Abschluss der Leistung löscht der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie – nach Wahl des Verantwortlichen – an diesen zurück, sofern nicht nach Abs. 2 oder Abs. 4 etwas anderes gilt.
  2. Abweichend von Abs. 1 kann der Verantwortliche eine verlängerte Aufbewahrung von bis zu 36 Monaten ab Beendigung des Hauptvertrags anweisen, um spätere Folgeleistungen (z. B. Nachreporting, Anschlussprojekte) zu ermöglichen. Diese Aufbewahrung setzt eine gesonderte, ausdrückliche Zustimmung des Verantwortlichen in Textform voraus (siehe gesondertes Einwilligungsformular). Ohne eine solche Zustimmung werden die Daten nach Abs. 1 gelöscht.
  3. Der Verantwortliche kann eine erteilte Zustimmung zur verlängerten Aufbewahrung jederzeit mit Wirkung für die Zukunft widerrufen und die vorzeitige Löschung verlangen. Nach Ablauf der Aufbewahrungsfrist werden die Daten gelöscht.
  4. Bestehen für bestimmte Daten gesetzliche Aufbewahrungspflichten (z. B. handels- oder steuerrechtliche Fristen nach HGB/AO), werden diese Daten nicht gelöscht, sondern in ihrer Verarbeitung eingeschränkt (gesperrt) und ausschließlich zu den gesetzlich vorgeschriebenen Zwecken verarbeitet. Die Löschung erfolgt nach Ablauf der jeweiligen gesetzlichen Frist.
  5. Anonymisierte Ergebnisse, die keinen Personenbezug mehr aufweisen und aus denen einzelne Personen mit vernünftigerweise wahrscheinlichen Mitteln nicht mehr identifiziert werden können (z. B. aggregierte Auswertungen, Benchmarks, Muster), unterfallen nicht den vorstehenden Löschpflichten. Der Auftragsverarbeiter ist berechtigt, solche anonymisierten Ergebnisse dauerhaft zu nutzen.
  6. Die Löschung wird auf Anforderung in geeigneter Weise dokumentiert und bestätigt.

§ 10 Drittlandübermittlung

  1. Eine Übermittlung personenbezogener Daten in ein Drittland erfolgt nur im Rahmen der in Anhang 2 genannten Dienste und nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
  2. Soweit für ein Drittland kein Angemessenheitsbeschluss der EU-Kommission besteht, werden geeignete Garantien – insbesondere die EU-Standardvertragsklauseln (SCC) nach Art. 46 DSGVO – eingesetzt. Für die Schweiz und das Vereinigte Königreich besteht jeweils ein Angemessenheitsbeschluss.

§ 11 Vertraulichkeit

Der Auftragsverarbeiter wahrt über die personenbezogenen Daten und die ihm im Rahmen der Zusammenarbeit bekannt werdenden Informationen Verschwiegenheit. Diese Pflicht besteht auch nach Beendigung des Vertrags fort. Eingesetzte Personen werden entsprechend verpflichtet.

§ 12 Haftung

  1. Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den Regelungen des Hauptvertrags.
  2. Im Verhältnis der Parteien untereinander gelten die Haftungsregelungen und etwaige Haftungsbegrenzungen des Hauptvertrags entsprechend, soweit gesetzlich zulässig.

§ 13 Vertragsschluss in elektronischer Form und Vertretungsbefugnis

  1. Dieser Vertrag kann in elektronischer Form geschlossen werden (Art. 28 Abs. 9 DSGVO). Insbesondere gilt er als wirksam vereinbart, wenn der Verantwortliche das Angebot bzw. den Hauptvertrag, in den dieser Vertrag durch Verweis einbezogen ist, annimmt (z. B. durch elektronische Bestätigung oder aktives Anklicken). Eine handschriftliche Unterschrift ist nicht erforderlich.
  2. Die für den Verantwortlichen handelnde Person sichert zu, zur Vertretung des Verantwortlichen und zum Abschluss dieses Vertrags berechtigt zu sein.
  3. Der Auftragsverarbeiter dokumentiert die jeweils angenommene Vertragsversion sowie das Datum der Annahme (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

§ 14 Schlussbestimmungen

  1. Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform; dies gilt auch für die Aufhebung dieses Formerfordernisses. § 5 (Sub-Prozessoren) bleibt unberührt.
  2. Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen hinsichtlich des Datenschutzes die Regelungen dieses Vertrags vor.
  3. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck am nächsten kommt.
  4. Es gilt das Recht der Bundesrepublik Deutschland.

Anhang 1 – Gegenstand und Einzelheiten der Verarbeitung

1. Gegenstand und Zweck

Erbringung von Beratungs- und Umsetzungsleistungen für den Verantwortlichen, einschließlich Strategie-, KI-, Team- und Organisationsberatung, Markt- und Mitarbeiterbefragungen, Terminorganisation, Dokumentation, Auswertung und Reporting.

2. Art der Verarbeitung

Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Auswerten, Übermitteln (im Rahmen von Anhang 2), Einschränken, Löschen und Vernichten.

3. Kategorien betroffener Personen

  • Mitarbeitende des Verantwortlichen
  • Kundinnen und Kunden des Verantwortlichen
  • Interessentinnen und Interessenten sowie Geschäftspartner des Verantwortlichen
  • Befragungsteilnehmende im Rahmen von Markt- und Mitarbeiterbefragungen
  • weitere in die Projektarbeit eingebundene Personen

4. Arten personenbezogener Daten

  • Stammdaten / Kontaktdaten (Name, E-Mail-Adresse, Telefon-/Mobilnummer, Funktion, Organisation)
  • Termin- und Kalenderdaten
  • projektbezogene Inhalte und Kommunikation (Notizen, Protokolle, Dokumente, Dateien)
  • Antworten und Angaben aus Befragungen/Interviews
  • Meta- und Verbindungsdaten (z. B. Zeitstempel) im erforderlichen Umfang

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung. Sollte dies im Einzelfall erforderlich werden, ist dies gesondert zu vereinbaren.

5. Aufbewahrung / Löschung

Gemäß § 9 dieses Vertrags: Löschung bei Vertragsende; optionale verlängerte Aufbewahrung von bis zu 36 Monaten nur bei gesonderter Zustimmung in Textform; gesetzliche Aufbewahrungspflichten bleiben unberührt.

Anhang 2 – Genehmigte Unterauftragsverarbeiter

Stand: 22.06.2026. Die jeweils aktuelle Fassung wird online geführt. Änderungen erfolgen nach Maßgabe von § 5.

Anbieter Standort Zweck Transfer / Grundlage
Hetzner Online GmbH Deutschland Hosting der gesamten Infrastruktur EU – kein Drittlandtransfer; AVV
Anthropic PBC (Claude API) USA KI-Sprachverarbeitung Drittland USA; SCC; keine Trainingsnutzung
Mistral AI SAS (API) EU/Frankreich KI-Sprachverarbeitung (EU-Alternative) EU; einzelne Sub-Prozessoren ggf. Drittland (SCC); AVV/DPA
Infomaniak Network SA (kSuite/Backup) Schweiz E-Mail, Kalender, Cloud-Speicher, Backups Angemessenheitsbeschluss CH; AVV
Microsoft Ireland Operations Ltd. EU/USA Microsoft 365 inkl. Copilot EU Data Boundary; ggf. SCC; AVV (DPA)
Canva (Canva Pty Ltd / UK Ltd.) EU/USA Grafik- und Designerstellung ggf. Drittland; SCC; AVV (DPA)

Hinweis: Ein Unterauftragsverarbeiter ist nur dann tatsächlich genehmigt, wenn über ihn auch personenbezogene Daten des Verantwortlichen verarbeitet werden. Nicht genutzte Dienste sind aus der Liste zu entfernen.

Anhang 3 – Technische und organisatorische Maßnahmen (TOM)

nach Art. 32 DSGVO. Stand: [DATUM]. Die Maßnahmen werden dem Stand der Technik angepasst.

1. Vertraulichkeit

  • Zutrittskontrolle: Serverbetrieb in zertifizierten Rechenzentren des Hosters (Hetzner, DE) mit physischen Zutrittsbeschränkungen.
  • Zugangskontrolle: individuelle Benutzerkonten, starke Passwörter, Zwei-Faktor-Authentifizierung wo verfügbar, gesicherte administrative Zugänge.
  • Zugriffskontrolle: rollen-/bedarfsbezogene Berechtigungen (Need-to-know), Trennung von Administrations- und Nutzerrechten.
  • Trennungskontrolle: logische Trennung von Mandanten-/Projektdaten; getrennte Verarbeitungsbereiche.
  • Pseudonymisierung/Datenminimierung: Reduktion personenbezogener Daten, wo möglich; Anonymisierung von Auswertungsergebnissen.

2. Integrität

  • Weitergabekontrolle: Transportverschlüsselung (TLS/HTTPS) bei Datenübertragung; verschlüsselte Backups (z. B. AES-256).
  • Eingabekontrolle: Nachvollziehbarkeit von Eingaben/Änderungen durch Protokollierung im erforderlichen Umfang.

3. Verfügbarkeit und Belastbarkeit

  • Backup-Konzept in mehreren Schichten; verschlüsselte Sicherung auf getrenntem EU-Ziel (Infomaniak, CH/EU).
  • getestete Wiederherstellung (Restore-Tests), nicht nur Einrichtung.
  • Schutzmaßnahmen gegen Schadsoftware und unbefugten Zugriff; regelmäßige Updates der eingesetzten Komponenten.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Datenschutz- und Sicherheits-Management: regelmäßige Überprüfung der Maßnahmen.
  • Incident-Response: definierter Prozess zur Erkennung und Meldung von Datenschutzverletzungen (vgl. § 7).
  • Auftragskontrolle: Auswahl und Bindung von Unterauftragsverarbeitern nach Art. 28 DSGVO (vgl. Anhang 2).
  • Verschwiegenheitsverpflichtung der eingesetzten Personen.

· Stand: 22.06.2026