Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Stand: 15. Februar 2026

1. Präambel

1.1 Vertragsparteien

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:

1.2 Hintergrund

Der Auftragsverarbeiter erbringt für den Verantwortlichen cloudbasierte Software-Dienstleistungen (Software-as-a-Service) gemäß den Allgemeinen Geschäftsbedingungen von ManageSphere (nachfolgend „Hauptvertrag"). Im Rahmen dieser Dienstleistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO) und ist Bestandteil des Hauptvertrags.

2. Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der ManageSphere-Plattform und zugehöriger Dienste.

2.2 Dauer

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Dieser AVV endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der Pflichten zur Löschung oder Rückgabe der Daten gemäß Ziffer 10.

3. Art und Zweck der Verarbeitung

3.1 Art der Verarbeitung

Der Auftragsverarbeiter führt folgende Verarbeitungstätigkeiten im Auftrag des Verantwortlichen durch:

• Erhebung, Speicherung und Abruf von Daten
• Organisation und Strukturierung von Daten
• Verwendung und Bereitstellung über die Plattform
• Übermittlung an autorisierte Nutzer des Verantwortlichen
• Sicherung (Backup) und Wiederherstellung
• Löschung und Vernichtung

3.2 Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich folgenden Zwecken:

• SaaS-Bereitstellung: Betrieb der ManageSphere-Plattform zur Nutzung durch den Kunden und dessen autorisierte Nutzer
• Hosting: Speicherung und Bereitstellung der Daten in der Cloud-Infrastruktur
• Support: Technische Unterstützung bei der Nutzung der Plattform (nur auf Anfrage und mit Zugang des Kunden)
• Wartung: Fehlerbehebung, Updates und Weiterentwicklung der Plattform
• Client-Portal: Bereitstellung von White-Label-Portalen für Endkunden des Verantwortlichen

4. Kategorien personenbezogener Daten

Die folgenden Kategorien personenbezogener Daten können Gegenstand der Verarbeitung sein (abhängig von der Nutzung durch den Verantwortlichen):

4.1 Mitarbeiterdaten

• Name, Vorname, E-Mail-Adresse
• Benutzerkennung und Passwort (verschlüsselt)
• Rolle und Berechtigungen
• Arbeitszeiten und Zeiterfassungsdaten
• Projektbeteiligungen und Aufgaben
• Profilbild (optional)

4.2 Kundendaten des Verantwortlichen

• Firmendaten (Firma, Adresse, USt-IdNr.)
• Kontaktdaten (Name, E-Mail, Telefon)
• Angebote, Rechnungen, Zahlungsinformationen
• Kommunikationshistorie
• Projektinformationen

4.3 Endkundendaten (Client-Portal)

• Name, E-Mail-Adresse
• Zugangsdaten zum Portal
• Projektbezogene Informationen
• Kommunikation und Dokumente
• Freigaben und Feedback

4.4 Ansprechpartnerdaten

• Name, Position, Abteilung
• E-Mail-Adresse, Telefonnummer
• Unternehmenszugehörigkeit

Hinweis: Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten, politische Meinungen) sind nicht Gegenstand dieses AVV. Der Kunde ist verpflichtet, keine solchen Daten in ManageSphere zu verarbeiten, sofern nicht eine gesonderte Vereinbarung getroffen wurde.

5. Kategorien betroffener Personen

Die folgenden Kategorien betroffener Personen können von der Verarbeitung betroffen sein:

• Mitarbeiter des Verantwortlichen: Nutzer der ManageSphere-Plattform
• Kunden des Verantwortlichen: Geschäftskunden, für die Projekte durchgeführt oder Rechnungen erstellt werden
• Endkunden des Verantwortlichen: Nutzer des Client-Portals
• Ansprechpartner und Kontaktpersonen: Bei Geschäftspartnern des Verantwortlichen
• Interessenten/Leads: Potenzielle Kunden im CRM des Verantwortlichen

6. Pflichten des Auftragsverarbeiters

6.1 Weisungsbindung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

Weisungen werden in der Regel über die Konfiguration und Nutzung der Plattform erteilt. Weisungen außerhalb der vertragsgemäßen Nutzung bedürfen der Schriftform (E-Mail ausreichend).

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt.

6.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sich alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Zugang zu Kundendaten ist auf Mitarbeiter beschränkt, die diesen für die Erbringung der vertraglichen Leistungen benötigen („Need-to-Know-Prinzip").

6.3 Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen TOMs sind in Anhang 1 dokumentiert.

Der Auftragsverarbeiter überprüft die TOMs regelmäßig und passt sie bei Bedarf an den Stand der Technik an, wobei das Schutzniveau nicht unterschritten werden darf.

6.4 Datenschutz durch Technikgestaltung

Der Auftragsverarbeiter berücksichtigt bei der Entwicklung und Bereitstellung der Plattform die Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).

7. Unterauftragsverarbeiter

7.1 Allgemeine Genehmigung

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß der Liste in Anhang 2 (Unterauftragsverarbeiterliste).

7.2 Anforderungen an Unterauftragsverarbeiter

Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden, die in diesem AVV festgelegt sind. Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber für die Einhaltung der Pflichten durch Unterauftragsverarbeiter voll verantwortlich.

7.3 Änderungen bei Unterauftragsverarbeitern

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage vor der geplanten Änderung per E-Mail an die hinterlegte Kontaktadresse.

7.4 Widerspruchsrecht

Der Verantwortliche kann innerhalb von 30 Tagen nach Zugang der Information Widerspruch gegen die Änderung einlegen, wenn er berechtigte Gründe hat (z.B. Datenschutzbedenken hinsichtlich eines bestimmten Unterauftragsverarbeiters).

Im Falle eines Widerspruchs werden die Parteien eine einvernehmliche Lösung anstreben. Kommt keine Einigung zustande, kann der Verantwortliche den Hauptvertrag außerordentlich kündigen, ohne dass ihm hieraus Nachteile entstehen.

8. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen nach Art. 12-22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

Diese Unterstützung umfasst insbesondere:

• Bereitstellung von Exportfunktionen für personenbezogene Daten
• Ermöglichung der Löschung durch den Verantwortlichen über die Plattform
• Technische Unterstützung bei der Beantwortung von Anfragen betroffener Personen
• Weiterleitung von Anfragen, die direkt an den Auftragsverarbeiter gerichtet werden

Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

9. Meldung von Datenschutzvorfällen

9.1 Meldepflicht

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO unverzüglich, in jedem Fall aber innerhalb von 48 Stunden nach Kenntniserlangung.

9.2 Inhalt der Meldung

Die Meldung enthält mindestens folgende Informationen:

• Beschreibung der Art der Verletzung (soweit bekannt)
• Kategorien und ungefähre Zahl der betroffenen Personen (soweit bekannt)
• Kategorien und ungefähre Zahl der betroffenen Datensätze (soweit bekannt)
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
• Kontaktdaten eines Ansprechpartners für Rückfragen

9.3 Weitere Unterstützung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörden und betroffenen Personen.

10. Löschung und Rückgabe nach Vertragsende

10.1 Datenexport

Der Verantwortliche kann während der Vertragslaufzeit und bis zu 30 Tage nach Vertragsende seine Daten über die Exportfunktionen der Plattform exportieren.

10.2 Löschung

Nach Ablauf von 30 Tagen nach Vertragsende löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht (z.B. für Rechnungsdaten).

Auf Wunsch des Verantwortlichen bestätigt der Auftragsverarbeiter die vollständige Löschung schriftlich.

10.3 Unterauftragsverarbeiter

Der Auftragsverarbeiter stellt sicher, dass auch Unterauftragsverarbeiter die Daten des Verantwortlichen nach Vertragsende löschen.

11. Prüfrechte

11.1 Nachweispflicht

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

11.2 Nachweis durch Zertifikate

Der Nachweis kann insbesondere durch folgende Mittel erbracht werden:

• Aktuelle ISO 27001-Zertifizierung oder vergleichbare Sicherheitszertifikate
• SOC 2-Berichte
• Datenschutz-Audits durch unabhängige Dritte
• Zusammenfassung von Penetrationstests (ohne sicherheitsrelevante Details)
• Aktuelle TOM-Dokumentation

11.3 Vor-Ort-Prüfungen

Der Verantwortliche oder ein von ihm beauftragter Prüfer hat das Recht, Überprüfungen einschließlich Inspektionen durchzuführen. Solche Prüfungen sind:

• Mit angemessener Frist (mindestens 4 Wochen) anzukündigen
• Während der üblichen Geschäftszeiten durchzuführen
• So zu gestalten, dass der Geschäftsbetrieb nicht unverhältnismäßig gestört wird
• Auf maximal eine Prüfung pro Kalenderjahr begrenzt (außer bei begründetem Verdacht)

Die Kosten der Prüfung trägt der Verantwortliche, sofern keine Verstöße festgestellt werden.

12. Haftung

Die Haftung der Parteien richtet sich nach den Bestimmungen des Hauptvertrags (Allgemeine Geschäftsbedingungen von ManageSphere) sowie den anwendbaren gesetzlichen Regelungen, insbesondere Art. 82 DSGVO.

Jede Partei haftet für die durch sie verursachten Schäden aufgrund von Verstößen gegen diesen AVV oder die DSGVO entsprechend den gesetzlichen Bestimmungen.

13. So schließen Kunden den AVV ab

Dieser AVV gilt automatisch für alle Kunden von ManageSphere und wird mit Abschluss des Hauptvertrags (Registrierung und Akzeptanz der AGB) wirksam.

Abschlussoptionen:

• Automatisch: Mit Akzeptanz der AGB bei der Registrierung akzeptiert der Kunde auch diesen AVV als integralen Vertragsbestandteil.
• Auf Anfrage: Für Kunden, die eine unterschriebene Version benötigen (z.B. für interne Compliance), stellen wir auf Anfrage an info@managesphere.de eine individuell unterzeichnete Fassung zur Verfügung.

Der Kunde bestätigt mit der Nutzung von ManageSphere, dass er zur Beauftragung der Auftragsverarbeitung berechtigt ist und alle erforderlichen Genehmigungen eingeholt hat.

Anhang 1: Technische und Organisatorische Maßnahmen (TOMs)

Stand: 15. Februar 2026

Die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO werden vom Auftragsverarbeiter implementiert:

A1.1 Zutrittskontrolle

Maßnahmen zur Verhinderung des unbefugten Zutritts zu Datenverarbeitungsanlagen:

• Hosting in zertifizierten Rechenzentren (ISO 27001, SOC 2) mit physischer Zugangskontrolle
• 24/7-Sicherheitspersonal und Videoüberwachung in Rechenzentren
• Mehrstufige Zugangskontrollen (Biometrie, Schlüsselkarten)
• Protokollierung aller Zutritte
• Besucherbegleitung und -registrierung

A1.2 Zugangskontrolle

Maßnahmen zur Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen:

• Passwort-Richtlinien (Mindestlänge, Komplexität, regelmäßige Änderung)
• Multi-Faktor-Authentifizierung (MFA) für alle Administrationszugänge
• Automatische Sperrung nach fehlgeschlagenen Anmeldeversuchen
• Session-Timeouts bei Inaktivität
• Zentrale Benutzerverwaltung und Single Sign-On (SSO) Option
• Regelmäßige Überprüfung und Entfernung nicht mehr benötigter Zugänge

A1.3 Zugriffskontrolle

Maßnahmen zur Gewährleistung, dass Berechtigte nur auf die ihnen zugewiesenen Daten zugreifen können:

• Rollenbasiertes Berechtigungskonzept (RBAC)
• Need-to-Know-Prinzip für Mitarbeiterzugriffe
• Protokollierung von Zugriffen auf personenbezogene Daten
• Differenzierte Zugriffsrechte (Lesen, Schreiben, Löschen)
• Tenant-spezifische Administratorrechte

A1.4 Mandantentrennung (Tenant Isolation)

Maßnahmen zur getrennten Verarbeitung von Daten verschiedener Kunden:

• Logische Trennung der Kundendaten auf Datenbankebene
• Tenant-ID-basierte Zugriffskontrolle auf Anwendungsebene
• Separate Verschlüsselungsschlüssel pro Mandant (wo technisch umsetzbar)
• Regelmäßige Tests zur Überprüfung der Mandantentrennung
• Getrennte Backup-Sets pro Mandant (logisch)

A1.5 Verschlüsselung

Maßnahmen zum Schutz personenbezogener Daten durch Verschlüsselung:

• Transportverschlüsselung: TLS 1.2 oder höher für alle Datenübertragungen
• Speicherverschlüsselung: AES-256-Verschlüsselung für ruhende Daten (at-rest)
• Verschlüsselte Backups
• HSTS (HTTP Strict Transport Security) für alle Webdienste
• Sichere Schlüsselverwaltung mit regelmäßiger Rotation

A1.6 Logging und Monitoring

Maßnahmen zur Überwachung und Nachvollziehbarkeit:

• Zentrale Log-Aggregation und -Analyse
• Protokollierung sicherheitsrelevanter Ereignisse (Login, Logout, Datenänderungen)
• Echtzeit-Monitoring auf Anomalien und Sicherheitsvorfälle
• Aufbewahrung von Logs für mindestens 90 Tage
• Alarmierung bei sicherheitsrelevanten Ereignissen
• Audit-Trail für administrative Aktionen

A1.7 Backup und Restore

Maßnahmen zur Datensicherung und Wiederherstellung:

• Tägliche automatisierte Backups
• Georedundante Backup-Speicherung
• Verschlüsselte Backup-Übertragung und -Speicherung
• Regelmäßige Wiederherstellungstests
• Dokumentierte Recovery-Prozesse
• Point-in-Time-Recovery-Fähigkeit

A1.8 Incident Response

Maßnahmen zur Behandlung von Sicherheitsvorfällen:

• Dokumentierter Incident-Response-Prozess
• Definierte Eskalationswege und Verantwortlichkeiten
• 24/7-Erreichbarkeit für kritische Vorfälle
• Post-Incident-Analyse und Lessons Learned
• Regelmäßige Schulungen des Security-Teams
• Koordination mit externen Security-Experten bei Bedarf

A1.9 SDLC und Change-Management

Maßnahmen zur sicheren Softwareentwicklung:

• Secure Development Lifecycle (SDLC)
• Code Reviews für sicherheitsrelevante Änderungen
• Automatisierte Sicherheitstests in der CI/CD-Pipeline
• Regelmäßige Penetrationstests durch externe Dienstleister
• Vulnerability Management und zeitnahe Patches
• Getrennte Entwicklungs-, Test- und Produktionsumgebungen
• Dokumentiertes Change-Management mit Genehmigungsprozessen
• Rollback-Fähigkeit für Deployments

Anhang 2: Unterauftragsverarbeiter

Die aktuelle Liste der Unterauftragsverarbeiter finden Sie unter: Unterauftragsverarbeiterliste

Diese Liste wird regelmäßig aktualisiert. Änderungen werden gemäß Ziffer 7.3 dieses AVV mit einer Frist von 30 Tagen angekündigt.