Version 1.0 | Stand: 15. Februar 2026

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen Ihnen (Verantwortlicher) und ManageSphere UG (haftungsbeschränkt) i.G. (Auftragsverarbeiter)

1. Gegenstand und Dauer

1.1 Gegenstand

Gegenstand dieses Vertrages ist die Auftragsverarbeitung personenbezogener Daten im Rahmen der Bereitstellung der Software-as-a-Service (SaaS) Lösung "ManageSphere".

1.2 Dauer

Dieser Vertrag beginnt mit der Registrierung des Verantwortlichen und endet mit der Beendigung des Nutzungsvertrages bzw. der vollständigen Löschung aller personenbezogenen Daten.

2. Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

  • Erhebung
  • Speicherung
  • Organisation
  • Strukturierung
  • Anpassung oder Veränderung
  • Abfrage
  • Verwendung
  • Löschung oder Vernichtung

2.2 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung der vertraglichen Leistungen (Business Management Software) gemäß dem Hauptvertrag (Nutzungsvereinbarung).

3. Kategorien personenbezogener Daten

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

  • Stammdaten: Name, Vorname, Adresse, Telefon, E-Mail
  • Vertragsdaten: Vertragsbeziehungen, Angebote, Rechnungen
  • Kommunikationsdaten: E-Mails, Chat-Nachrichten, Notizen
  • Nutzungsdaten: Zugriffsdaten, Log-Dateien, IP-Adressen
  • Projekt-/Aufgabendaten: Projektinformationen, Zeiterfassung
  • Finanzdaten: Rechnungsdaten, Zahlungsinformationen
  • Dokumente: Hochgeladene Dateien, Dokumente

Hinweis: Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten) sind von der Verarbeitung ausgeschlossen, sofern nicht gesondert vereinbart.

4. Kategorien betroffener Personen

  • Kunden des Verantwortlichen
  • Interessenten/Leads
  • Mitarbeiter des Verantwortlichen
  • Geschäftspartner
  • Lieferanten
  • Weitere Kontaktpersonen

5. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen implementiert:

5.1 Zutrittskontrolle

  • Rechenzentren mit ISO 27001 Zertifizierung
  • Physische Zugangskontrollen (Zutrittskarten, Videoüberwachung)
  • Dokumentation aller Zutrittsberechtigungen

5.2 Zugangskontrolle

  • Individuelle Benutzerkonten mit sicheren Passwörtern
  • Zwei-Faktor-Authentifizierung (2FA) verfügbar
  • Automatische Session-Timeouts
  • Rollenbasierte Zugriffskontrolle (RBAC)

5.3 Zugriffskontrolle

  • Fein-granulare Berechtigungskonzepte
  • Zugriff nur auf für die Verarbeitung erforderliche Daten
  • Logging aller Zugriffe

5.4 Trennungskontrolle

  • Mandantentrennung (Multi-Tenant-Architektur)
  • Logische Trennung der Daten verschiedener Kunden
  • Separate Umgebungen für Produktion/Test/Entwicklung

5.5 Pseudonymisierung & Verschlüsselung

  • TLS 1.3 Verschlüsselung für alle Datenübertragungen
  • AES-256 Verschlüsselung für gespeicherte Daten (at rest)
  • Verschlüsselte Backups
  • Pseudonymisierung wo technisch möglich

5.6 Verfügbarkeit & Belastbarkeit

  • Hochverfügbare Infrastruktur (99,9% Uptime-Ziel)
  • Redundante Systeme und Failover-Mechanismen
  • Tägliche automatische Backups
  • Disaster Recovery Plan

5.7 Verfahren zur Überprüfung

  • Regelmäßige interne Audits
  • Externe Security-Assessments
  • Penetrationstests durch Dritte
  • Kontinuierliches Monitoring

5.8 Datenträger-Entsorgung

  • Sichere Löschung gemäß BSI-Richtlinien
  • Physische Vernichtung ausgemusterter Datenträger
  • Dokumentation der Entsorgungsvorgänge

6. Pflichten des Auftragsverarbeiters

6.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten hierzu verpflichtet.

6.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

6.3 Datensicherheit

Der Auftragsverarbeiter ergreift alle nach Art. 32 DSGVO erforderlichen Maßnahmen zur Datensicherheit (siehe Punkt 5).

6.4 Unterauftragsverhältnisse

Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Subunternehmer) nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen beauftragen. Eine aktuelle Liste der Subunternehmer wird unter /dsgvo bereitgestellt.

6.5 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

  • Beantwortung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung)
  • Meldung von Datenschutzverletzungen
  • Datenschutz-Folgenabschätzungen
  • Vorabkonsultationen mit Aufsichtsbehörden

6.6 Löschung und Rückgabe

Nach Beendigung des Vertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt diese auf Weisung des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

7. Rechte und Pflichten des Verantwortlichen

7.1 Weisungsrecht

Der Verantwortliche hat das Recht, dem Auftragsverarbeiter Weisungen zur Datenverarbeitung zu erteilen.

7.2 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieses Vertrages zu überprüfen. Dies kann durch:

  • Einholung von Auskünften
  • Einsichtnahme in relevante Dokumente
  • Inspektionen vor Ort (nach vorheriger Ankündigung)
  • Beauftragung unabhängiger Prüfer

erfolgen. Die Kosten trägt der Verantwortliche, sofern keine Verstöße festgestellt werden.

8. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.

Die Meldung erfolgt an: datenschutz@[kunde-domain].de (vom Kunden anzugeben)

9. Haftung

Für Schäden, die durch die Auftragsverarbeitung entstehen, haftet der Auftragsverarbeiter gemäß den gesetzlichen Bestimmungen (Art. 82 DSGVO) und den Regelungen des Hauptvertrages (AGB).

10. Online-Abschluss & Annahme

Dieser Auftragsverarbeitungsvertrag wird mit Registrierung und Nutzung der ManageSphere Software automatisch wirksam. Der Verantwortliche erklärt durch die Nutzung sein Einverständnis mit den Regelungen dieses AVV.

Alternative: Sie können diesen AVV auch manuell unterzeichnet an uns zurücksenden:

ManageSphere UG (haftungsbeschränkt) i.G.
Karl-Straße 5
76530 Baden-Baden
Deutschland

Oder per E-Mail an: privacy@managesphere.de

11. Änderungen des AVV

Änderungen dieses AVV werden dem Verantwortlichen per E-Mail mitgeteilt und gelten als genehmigt, wenn der Verantwortliche nicht innerhalb von 30 Tagen widerspricht.

12. Schlussbestimmungen

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt das Recht der Bundesrepublik Deutschland.

📥 Download & Kontakt

Für Fragen zum AVV oder individuelle Vereinbarungen kontaktieren Sie uns:

E-Mail: avv@managesphere.de
Telefon: +49 (0) 123 456789