Zu Content springen
bell

Hivebuy Live-Webinar: Die neuesten KI-Features

arrow-up-right (2) (2)

Jetzt anmelden & direkt 2026 durchstarten

28.01.2026 - 12:30 Uhr

Auftragsverarbeitungsvereinbarung

 

 

1) Anwendungsbereich

Bei der Erbringung der Leistungen gemäß dem zwischen den Parteien geschlossenen Auftragsformular und Software-as-a-Service-Vertrag (nachfolgend zusammen „Hauptvertrag“) verarbeitet Hivebuy (nachfolgend „Auftragnehmer“) personenbezogene Daten, die der Kunde (nachfolgend „Auftraggeber“) zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“).

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der von dem Auftragnehmer für den Auftraggeber verarbeiteten Auftraggeber-Daten unter dem Hauptvertrag.

 

2) Gegenstand, Art und Umfang der Verarbeitung 

2.1) Der Auftragnehmer wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern der Auftragnehmer nicht aus dem Recht der Europäischen Union oder eines Mitgliedsstaates gesetzlich dazu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Diese Weisungen bedürfen der Schrift- oder Textform. Mündliche Weisungen wird der Auftraggeber schriftlich oder per E-Mail bestätigen. Sämtliche Weisungen sind durch die Parteien zu dokumentieren.

 

2.2) Soweit nicht im Hauptvertrag abweichend vereinbart, erfolgt die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer ausschließlich in der Art, dem Umfang und zu dem Zweck wie in Anhang 1 zu dieser AVV spezifiziert; die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Ändern sich diese Verarbeitungsprozesse aufgrund einer Änderung der vertraglichen Leistung des Auftragnehmers, wird der Auftragnehmer den Auftraggeber hierüber vorab informieren. 

 

2.3) Dieser Vertrag über die Auftragsverarbeitung tritt mit Beginn des Hauptvertrages in Kraft. Die Laufzeit und die Kündigungsfristen entsprechen denen des Hauptvertrages. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als Kündigung dieses Vertrags.

 

2.4) Die Erbringung der vertraglich vereinbarten Datenverarbeitungen findet ausschließlich in einem Mitgliedsstaat der Europäischen Union statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Kunden und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DS-GVO erfüllt sind.

Die Regelungen zur Inanspruchnahme weiterer Auftragsverarbeiter in Ziffer 5 dieser AVV bleiben unberührt.



2.5) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen gesetzliche Regelungen verstößt, wird er den Auftraggeber hierüber unverzüglich in Schrift- oder Textform informieren. Der Auftragnehmer ist berechtigt, die Ausführung einer solchen Weisung so lange auszusetzen, bis der Auftraggeber sie in Schrift- oder Textform bestätigt. 

 

3) Anforderungen an Personal

3.1) Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, zur Vertraulichkeit zu verpflichten, soweit diese nicht einer angemessenen gesetzlichen Verschwiegenheit unterliegen.



4) Sicherheit der Verarbeitung

4.1) Der Auftragnehmer ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und – soweit dem Auftragnehmer bekannt – der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.

 

4.2) Der Auftragnehmer hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die in Anhang 2 zu dieser AVV spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während der Dauer des Hauptvertrags aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.

 

4.3) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist der Auftragnehmer berechtigt und verpflichtet, alternative, adäquate Maßnahmen umzusetzen, um das Sicherheitsniveau der in Anhang 2 festgelegten Maßnahmen nicht zu unterschreiten. Nimmt der Auftragnehmer wesentliche Änderungen an den in Anhang 2 festgelegten Maßnahmen vor, wird er den Auftraggeber hierüber vorab informieren.



5) Inanspruchnahme weiterer Auftragsverarbeiter

5.1) Der Auftragnehmer setzt bei der Verarbeitung der Auftraggeber-Daten die in Anhang 3 aufgelisteten weiteren Auftragsverarbeiter ein. Diese gelten mit Abschluss des AVV als genehmigt.

 

5.2) Der Auftragnehmer darf zur Verarbeitung von Auftraggeber-Daten weitere Auftragsverarbeiter unter folgender Maßgabe in Anspruch nehmen: Der Auftragnehmer informiert den Auftraggeber mindestens fünfzehn (15) Werktage vor der Inanspruchnahme des weiteren Auftragsverarbeiters in Text- oder Schriftform. Soweit der Auftraggeber nicht innerhalb von fünf (5) Werktagen Einspruch erhebt, gilt die Inanspruchnahme als genehmigt.

 

5.3) Widerspricht der Auftraggeber dem Einsatz eines weiteren Auftragsverarbeiters, ist der Auftragnehmer berechtigt, nach seiner Wahl die Leistungen weiter ohne den entsprechenden Auftragsverarbeiter zu erbringen oder den Hauptvertrag sowie diese AVV zum Zeitpunkt des geplanten Einsatzes des Auftragsverarbeiters zu kündigen.

 

5.4) Der Auftragnehmer hat jeden weiteren Auftragsverarbeiter ebenso zu verpflichten, wie auch der Auftragnehmer aufgrund dieser Vereinbarung gegenüber dem Auftraggeber verpflichtet ist.

 

5.5) Der Auftragnehmer ist verpflichtet, nur solche weiteren Auftragsverarbeiter auszuwählen und in Anspruch zu nehmen, die hinreichende Garantien dafür bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung der Auftraggeber-Daten entsprechend den Anforderungen der DSGVO und dieser AVV erfolgt.

 

6) Rechte der betroffenen Personen

6.1) Der Auftragnehmer wird alle zumutbaren technischen und organisatorischen Maßnahmen treffen, um den Auftraggeber dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der ihnen zustehenden Rechte nachzukommen.

 

6.2) Der Auftragnehmer wird insbesondere:

den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an den Auftragnehmer wenden sollte;

dem Auftraggeber unverzüglich alle bei ihm vorhandenen Informationen über die Verarbeitung von Auftraggeber-Daten geben, die der Auftraggeber zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Auftraggeber nicht selbst verfügt;

Auftraggeber-Daten auf Weisung des Auftraggebers unverzüglich berichtigen, löschen oder in der Verarbeitung einschränken;

sicherstellen, dass der Auftraggeber die im Verantwortungsbereich des Auftragnehmers verarbeiteten Auftraggeber-Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten kann und erhält, soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten besitzt.

 

7) Sonstige Unterstützungspflichten des Auftragnehmers

7.1) Der Auftragnehmer meldet dem Auftraggeber, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen.

 

7.2) Der Auftragnehmer ist verpflichtet, bei allen Verletzungen des Schutzes von Auftraggeber-Daten unverzüglich sämtliche erforderlichen und zumutbaren Maßnahmen zur Behebung der Verletzung des Schutzes der Auftraggeber-Daten und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen zu ergreifen.

 

7.3) Ist der Auftraggeber gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

 

7.4) Der Auftragnehmer wird unter Berücksichtigung der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in Art. 32 DSGVO genannten Pflichten unterstützen.

 

7.5) Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder betroffene Personen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer den Auftraggeber auf dessen Anfrage unterstützen, diese Pflichten einzuhalten. Der Auftragnehmer ist insbesondere verpflichtet, sämtliche potentiellen Verletzungen des Schutzes von Auftraggeber-Daten einschließlich aller damit im Zusammenhang stehenden Fakten in einer Weise zu dokumentieren, die dem Auftraggeber den Nachweis der Einhaltung etwa einschlägiger gesetzlicher Meldepflichten ermöglicht.

 

7.6) Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

 

8) Datenlöschung und -zurückgabe

8.1) Der Auftragnehmer wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrags alle Auftraggeber-Daten entweder vollständig löschen oder an den Auftraggeber zurückgeben und etwaig vorhandene Kopien löschen, sofern nicht nach dem Recht der Europäischen Union oder eines Mitgliedsstaates eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.

 

8.2) Der Auftragnehmer ist jedoch berechtigt, für einen Zeitraum von drei (3) Monaten Sicherungskopien der Auftraggeber-Daten aufzubewahren, soweit eine Löschung der Auftraggeber-Daten aus diesen Sicherungskopien technisch oder im Hinblick auf Art. 32 DSGVO unmöglich ist. Für diesen Zeitraum gelten die Rechte und Pflichten der Parteien aus dieser AVV in Bezug auf die Sicherungskopien fort.

 

8.3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeber-Daten dienen, sind durch den Auftragnehmer entsprechend den gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

 

9) Nachweise und Überprüfungen

9.1) Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten mit dieser AVV einschließlich des in Anhang 1 festgelegten Umfangs der Verarbeitung der Auftraggeber-Daten sowie den Weisungen des Auftraggebers in Einklang steht.

 

9.2) Der Auftraggeber ist berechtigt, den Auftragnehmer vor dem Beginn der Verarbeitung von Auftraggeber-Daten und regelmäßig während der Laufzeit des Hauptvertrags bezüglich der Einhaltung der Regelungen dieser AVV, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen gemäß Anhang 2, selbst oder durch einen qualifizierten und zur Verschwiegenheit verpflichteten Prüfer zu überprüfen; einschließlich durch Inspektionen. Der Auftragnehmer ermöglicht solche Überprüfungen und trägt durch alle zweckmäßigen und zumutbaren Maßnahmen zu solchen Überprüfungen bei; unter anderem durch die Gewährung der notwendigen Zugangs- und Zugriffsrechte und die Bereitstellung aller notwendigen Informationen.

 

9.3) Die Überprüfungen und Inspektionen sollen den Auftragnehmer in seinem normalen Geschäftsbetrieb nach Möglichkeit nicht behindern und diesen nicht über Gebühr belasten. Insbesondere sollen Inspektionen bei dem Auftragnehmer ohne konkreten Anlass nicht mehr als einmal im Kalenderjahr und nur während der üblichen Geschäftszeiten des Auftragnehmers stattfinden. Der Auftraggeber hat dem Auftragnehmer Inspektionen rechtzeitig vorab in Schrift- oder Textform anzukündigen.

 

10) Schlussbestimmungen

10.1) Im Fall von datenschutzrechtlich relevanten Widersprüchen zwischen dieser AVV und dem Hauptvertrag gehen die Regelungen dieser AVV vor. Im Übrigen gelten die Regelungen des Hauptvertrages entsprechend.

 

10.2) Über die DSGVO hinausgehende Verpflichtungen der Parteien gegenüber Dritten (insbesondere gegenüber den Betroffenen) werden durch diese Vereinbarung nicht begründet.

 
Anhang 1 – Verarbeitungsprozesse

Zweck der Datenverarbeitung: Erbringung der SaaS-Leistung gemäß den Regelungen des Hauptvertrags

 

Art und Umfang der Datenverarbeitung: Verarbeitung von Account- und Nutzungsdaten im Rahmen der Bereitstellung der SaaS-Leistung, Hosting/Speicherung, Verarbeitung im Rahmen der Erbringung der SaaS-Leistung

 

Kreis der betroffenen Personen:

  • Kunde (falls natürliche Person)
  • Lieferant (falls natürliche Person)
  • Vertreter und Mitarbeiter des Kunden
  • Vertreter und Mitarbeiter des Lieferanten
 

Art der Daten - Kunde / Lieferant:

  • Stammdaten
  • Account- und Nutzungsdaten
  • Bankverbindungs- und Zahlungsdaten
  • Bestelldaten und -dokumentation
  • Budgetplanung und -daten
  • Abrechnungen zwischen Kunden und Lieferanten
  • Vertreter und Mitarbeiter:
  • Stammdaten
  • Account- und Nutzungsdaten


Anhang 2 – Technische und organisatorische Maßnahmen

Organisatorische Kontrolle:

Bestehen interner Datenverarbeitungsrichtlinien und –verfahren, Handlungsanweisungen, Arbeitsanweisungen, Prozessbeschreibungen und Vorschriften (z.B. für die Programmierung, Prüfung und Freigabe von Prozessen mit Bezug zur Verarbeitung personenbezogener Daten)

Trennung von Aufgaben/Funktionen zwischen der IT-Abteilung und anderen Abteilungen

Klare Abgrenzung zwischen den Verantwortungsbereichen in Bezug auf die Verarbeitung von Daten als Verantwortlicher und als Auftragsverarbeiter

Handlungsanweisung für Mitarbeiter zu der Verarbeitung von personenbezogenen Daten

Festlegung von Zugriffsberechtigungen für Mitarbeiter und Dritte einschließlich der jeweiligen Dokumentationen

Besondere Sicherheitsbereiche mit eigener Zugriffskontrolle („closed shops“)

  • In Bezug auf Tätigkeit als Auftragsverarbeiter: Schriftliche Verpflichtung der Mitarbeiter, das Datengeheimnis zu wahren oder gesetzliche Verpflichtung der Mitarbeiter zur Verschwiegenheit nach Art. 28 Abs. 3 lit. b DSGVO
  • In Bezug auf Tätigkeit als Auftragsverarbeiter: Die Verarbeitung personenbezogener Daten erfolgt nur auf dokumentierte Anweisung des Verantwortlichen, einschließlich der Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation
  • In Bezug auf Tätigkeit als Auftragsverarbeiter: Auf Anfrage können dem Verantwortlichen alle Informationen zur Verfügung gestellt werden, die erforderlich sind, um die Einhaltung der AVV auch kurzfristig (innerhalb von maximal 48 Stunden) nachzuweisen


Zutrittskontrolle:

  • Ausschließlich fachlich kompetente Mitarbeiter haben Zugriff auf die Datenverarbeitungssysteme
  • Regulierungen für Dritte (Besucher, Kunden, Reinigungspersonal, Handwerker, etc.)
  • Sicherstellung, dass alle Eingänge zu den Datenverarbeitungsanlagen (Räume, Wohnungen, Computerhardware und zugehörige Einrichtungen) abschließbar sind
  • Physische Sicherung aller Bereiche, in denen sich Datenträger befinden
  • Schlüsselregelung (Schlüsselausgabe etc.)
  • Zugriff auf Daten und Benutzerkontrolle
  • Prozesse zur Prüfung und Freigabe von Programmen
  • Erteilung von Zugangsberechtigungen nur für bestimmte Personen
  • Benutzerpasswörter für Daten und Programme
  • Benutzername und Passwörter (Richtlinien einschließlich der Passwortlänge und -wechsel)
  • Automatische Rückgabe der Benutzer-ID bei der Eingabe mehrerer falscher Passwörter
  • Schutz interner Netzwerke vor unberechtigtem Zugriff (z.B. durch Firewalls)
  • Automatisches Abmelden von Benutzer-IDs, die über einen längeren Zeitraum hinweg nicht genutzt wurden
  • Automatische Bildschirmsperre nach einer bestimmten Zeit
  • Benutzername und Passwörter auf allen Geräten
 

Übertragungskontrolle:

  • Einsatz von Aktenvernichtern oder Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
  • Einschränkung der Nutzung von externen Speichermedien (insbesondere USB-Sticks, externen Festplatten, SD-Karten, CD- und DVD Brennern) durch technische Mittel (z.B. Software zur Steuerung von Schnittstellen oder vollständige Deaktivierung von Schnittstellen)
  • Elektronische Signatur
 

Eingabekontrolle:

  • Elektronische Erfassung der Datenverarbeitung, insbesondere der Eingabe, Änderung und Löschung von Daten (Prüfprotokolle)
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
 

Verfügbarkeitskontrolle:

  • Zentrale Beschaffung von Hardware und Software
  • Aktualisierung der verwendeten Software (z.B. durch Updates, Korrekturen, Fehlerbehebungen, etc.)
  • Formale Freigabeverfahren für Hardware-, Software- und IT-Verfahren
  • Serverräume befinden sich nicht unter sanitären Anlagen
  • Belastbarkeit des IT-Systems, auch bei (sehr) hoher Auslastung
  • Datenspiegelung
 

Trennbarkeit:

  • Trennung von Produktiv- und Testsystem
  • Festlegung von Datenbankrechten
  • Logische Mandantentrennung (softwareseitig)
  • Auswertung
 

Es besteht ein Verfahren zur regelmäßigen Überprüfung, Auswertung und Bewertung der Wirksamkeit der oben genannten technischen und organisatorischen Aspekte zur Gewährleistung der Sicherheit der Verarbeitung. Wenn ja, geben Sie bitte die Häufigkeit der Überprüfungen an: Jeden sechsten Monat.

 

Anhang 3 – Weitere Auftragsverarbeiter

Subunternehmer

Zweck der Verarbeitung

Datenkategorien

Ort der Verarbeitung

FusionAuth

Authentifizierung und Benutzerverwaltung

Login-Daten, E-Mail-Adresse, Rolleninformationen

EU

HubSpot

Kundenkommunikation & Support (CRM)

Name, E-Mail-Adresse, Kommunikationsinhalte

EU

Sentry

Fehleranalyse & Performance Monitoring

Metadaten zu Nutzeraktionen (z. B. Browser, Seitenaufrufe), pseudonymisierte IDs

EU (EU-Cluster)

Workato

Automatisierung von Workflows (z. B. ERP-Integration)

Transaktionsdaten, ggf. personenbezogene Metadaten

EU/USA (abhängig vom Zielsystem)

AWS (Amazon Web Services)

Bereitstellung von Cloud-Services und Hosting der Systeme

Alle gespeicherten oder verarbeiteten personenbezogenen Daten

EU

Twilio SendGrid

Anbieter der Marketing- und Mailingdienste

E-Mail-Adresse, E-Mail-Inhalte (z. B. Bestellbestätigungen)

EU

Stand: 08.08.2025