Rechtliches · Vorlage

Auftragsverarbeitungs­vertrag

Vorlage nach Art. 28 DSGVO für Mandate, in denen JM Energy Consulting personenbezogene Daten Dritter im Auftrag und nach Weisung des Auftraggebers verarbeitet. Mit Annahme eines Beratungs- oder Projektauftrags ist der ausgefüllte und unterzeichnete AVV obligatorischer Vertragsbestandteil, soweit eine entsprechende Datenverarbeitung erfolgt.

Als PDF speichern (⌘P / Strg+P) Vorausgefülltes Exemplar anfordern
Hinweis zur Verwendung. Diese Vorlage entspricht den Mindestinhalten nach Art. 28 Abs. 3 DSGVO. Die mit [ … ] markierten Stellen werden vor Unterzeichnung individuell befüllt — JM Energy Consulting stellt auf Anfrage ein vorausgefülltes Exemplar bereit.

Vertragsparteien

Verantwortlicher
[Firma des Auftraggebers]
[Anschrift]
vertreten durch: [Vertretungsberechtigte/r]
— nachfolgend "Verantwortlicher"
Auftragsverarbeiter
JM Energy Consulting
Inhaberin Jessica Mauch
Am Dümpel 2, 18184 Thulendorf
— nachfolgend "Auftragsverarbeiter"
Inhalt
  1. Gegenstand & Dauer der Verarbeitung
  2. Art und Zweck der Verarbeitung
  3. Art der personenbezogenen Daten
  4. Kategorien betroffener Personen
  5. Pflichten des Auftragsverarbeiters
  6. Pflichten des Verantwortlichen
  7. Technische und organisatorische Maßnahmen (TOM)
  8. Sub-Auftragsverarbeiter
  9. Mitteilungs- und Unterstützungspflichten
  10. Kontrollrechte
  11. Beendigung & Rückgabe/Löschung
  12. Schlussbestimmungen

1. Gegenstand & Dauer der Verarbeitung

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der zwischen den Parteien vereinbarten Beratungs- und Projektleistungen (nachfolgend „Hauptvertrag"). Die Einzelheiten dieser Leistungen ergeben sich aus dem Hauptvertrag bzw. dem zugrundeliegenden Angebot mit der Vorgangsnummer [ANG-Nr.].

Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags. Sie endet mit dessen Beendigung, sofern keine gesetzlichen Aufbewahrungspflichten eine längere Speicherung erfordern.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter erbringt im Auftrag und nach Weisung des Verantwortlichen folgende Leistungen, die eine Verarbeitung personenbezogener Daten umfassen können:

Zweck der Verarbeitung ist ausschließlich die Erbringung der vereinbarten Leistungen. Eine darüber hinausgehende Verarbeitung — insbesondere zu eigenen Zwecken des Auftragsverarbeiters — ist ausgeschlossen.

3. Art der personenbezogenen Daten

Im Rahmen der Verarbeitung können — abhängig vom konkreten Mandat — folgende Datenkategorien betroffen sein:

Der Verantwortliche stellt sicher, dass besonders schützenswerte Datenkategorien (Art. 9 DSGVO) nur dann übergeben werden, wenn eine entsprechende Einwilligung der betroffenen Personen vorliegt oder eine andere zulässige Rechtsgrundlage gegeben ist. Anonymisierung oder Pseudonymisierung erfolgt vor der Übergabe durch den Verantwortlichen, soweit nicht ausdrücklich anders vereinbart.

4. Kategorien betroffener Personen

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten ausschließlich im Rahmen der Vereinbarungen und nach den Weisungen des Verantwortlichen zu verarbeiten, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. In einem solchen Fall teilt er dies dem Verantwortlichen vor Beginn der Verarbeitung mit.

Der Auftragsverarbeiter

Die Verschwiegenheits­verpflichtung besteht über das Ende dieses Vertrages hinaus fort. Soweit der Verantwortliche als Versicherungsmakler oder anderer Berufsträger einer gesetzlichen Schweigepflicht (insbesondere § 203 StGB) unterliegt, unterwirft sich der Auftragsverarbeiter dieser Schweigepflicht ausdrücklich.

6. Pflichten des Verantwortlichen

Der Verantwortliche ist im Sinne der DSGVO für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Betroffenenrechte allein verantwortlich. Er stellt sicher,

7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft folgende Maßnahmen nach Art. 32 DSGVO:

VertraulichkeitZugriff auf Verarbeitungssysteme ausschließlich für autorisierte Personen über persönliche Accounts, starke Passwörter (mindestens 16 Zeichen), Zwei-Faktor-Authentifizierung; Macbook mit FileVault-Festplatten­verschlüsselung; Bildschirm­sperre nach Inaktivität.
IntegritätVersionskontrolle für alle Arbeitsergebnisse; revisionssichere Protokollierung kritischer Aktionen (Zugriff, Änderung, Annahme) mit Zeitstempel, IP und Nutzer-Identifikator.
VerfügbarkeitTägliches automatisches Backup der Datenbanken durch Supabase; Wiederherstellungsverfahren regelmäßig getestet; getrennte Aufbewahrung von Originaldaten und Bearbeitungsständen.
Übertragungs­sicherheitDatenübertragung ausschließlich über TLS 1.2/1.3 verschlüsselte Kanäle (HTTPS, SMTP-TLS); keine Übertragung sensibler Daten per unverschlüsselter E-Mail.
EingabekontrolleVollständige Protokollierung der Datenzugriffe in den eingesetzten Systemen (Supabase Audit-Log); Identifizierung über persönliche Zugänge.
Trennungs­gebotStrikte Trennung der Mandantendaten; eigene Datenbanken oder Tabellen pro Mandat; keine Vermischung mit Daten anderer Auftraggeber.
Datenschutz­freundliche VoreinstellungenDatensparsamkeit nach Art. 25 DSGVO: Es werden nur die für die jeweilige Aufgabe erforderlichen Daten verarbeitet; lokale Speicherung wird minimiert, KI-Modelle werden ausschließlich mit Zero-Data-Retention-Konfiguration genutzt.
AuftragskontrolleVerarbeitung ausschließlich nach dokumentierter Weisung des Verantwortlichen (siehe § 5); Schulung der Mitarbeitenden zu Datenschutz und Vertraulichkeit; Vier-Augen-Prinzip bei kritischen Datenoperationen.

8. Sub-Auftragsverarbeiter

Der Verantwortliche stimmt der Einbindung folgender Sub-Auftragsverarbeiter zu:

Supabase Inc. (Singapur, EU-Niederlassung Frankfurt)Datenbank, Authentifizierung, Storage. Datenstandort EU/Frankfurt. DPA vorhanden.
Cloudflare Inc. (USA)Content-Delivery, Hosting der statischen Seiten, DNS. Standardvertragsklauseln gemäß Art. 46 DSGVO.
Resend Inc. (USA)Versand transaktionaler E-Mails (Angebote, Bestätigungen). DPA + EU-US Data Privacy Framework.
Anthropic PBC (USA)KI-Modelle der Claude-Familie. Zero-Data-Retention. DPA + EU-US Data Privacy Framework.
OpenAI L.L.C. (USA)KI-Modelle der GPT-Familie. Zero-Data-Retention vereinbart. DPA + EU-US Data Privacy Framework.
Google Ireland Ltd. (Irland)KI-Modelle der Gemini-Familie, soweit eingesetzt. Datenverarbeitung primär EU. DPA vorhanden.

Der Auftragsverarbeiter teilt Änderungen am Bestand der Sub-Auftragsverarbeiter mindestens 30 Tage vor Wirksamwerden mit. Der Verantwortliche kann einer Änderung innerhalb von 14 Tagen widersprechen; in diesem Fall vereinbaren die Parteien eine einvernehmliche Lösung oder eines der Parteien kann den Hauptvertrag außerordentlich kündigen.

9. Mitteilungs- und Unterstützungspflichten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, wenn ihm ein Verstoß gegen den Schutz personenbezogener Daten bekannt wird, der die durch diesen Vertrag verarbeiteten Daten betrifft. Die Mitteilung umfasst die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) und bei der Erfüllung der Pflichten aus Art. 33 bis 36 DSGVO.

10. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung der Vorschriften zum Datenschutz beim Auftragsverarbeiter zu kontrollieren oder durch beauftragte Dritte kontrollieren zu lassen. Der Auftragsverarbeiter ermöglicht hierzu auf Anfrage des Verantwortlichen den Zugang zu seinen Verarbeitungsräumlichkeiten und stellt Nachweise (z. B. Zertifikate, TOM-Dokumentation, Audit-Berichte) zur Verfügung.

Kontrollen finden in der Regel nach vorheriger Ankündigung mit angemessener Vorlaufzeit (mindestens 14 Tage) während der üblichen Geschäftszeiten statt. Bei Vorliegen besonderer Umstände (etwa eines Datenschutzvorfalls) kann eine kurzfristigere Prüfung erforderlich sein.

11. Beendigung & Rückgabe/Löschung

Nach Beendigung des Hauptvertrags gibt der Auftragsverarbeiter alle ihm überlassenen Datenträger und sonstigen Unterlagen sowie sämtliche im Rahmen der Auftragsverarbeitung erstellten Datenbestände nach Wahl des Verantwortlichen entweder an diesen zurück oder löscht sie. Die Löschung ist auf Verlangen zu dokumentieren.

Gesetzliche Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO) bleiben unberührt. Soweit eine Löschung deshalb nicht möglich ist, werden die Daten von der weiteren Verarbeitung ausgeschlossen und gegen unbefugten Zugriff geschützt.

12. Schlussbestimmungen

Im Falle eines Widerspruchs zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor, soweit sie den Datenschutz betreffen.

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Mündliche Nebenabreden bestehen nicht.

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt deutsches Recht. Gerichtsstand ist — soweit der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist — der Sitz des Auftragsverarbeiters.

Verantwortlicher
Ort, Datum
Unterschrift / Name / Funktion
Auftragsverarbeiter
Ort, Datum
Jessica Mauch, JM Energy Consulting

Vorlage in der Fassung vom 12. Mai 2026 · Version 1.0