← Zurück
BR-Systems.Benjamin Raulf · Müdener Straße 15a · 29345 Unterlüß
MUSTER / VORLAGE
AVV · Stand 2026 · v1.0

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch BR-Systems im Auftrag des Kunden — insbesondere im Rahmen von Fernwartung, Monitoring und Betrieb (RMM) sowie der Bereitstellung virtueller Server (Private Cloud).

1. Vertragsparteien

Verantwortlicher (Auftraggeber / Kunde)
Auftragsverarbeiter
BR-Systems, Benjamin Raulf
Anschrift / vertretungsberechtigte Person
Anschrift
Müdener Straße 15a, 29345 Unterlüß

2. Gegenstand, Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vereinbarten Leistungen. Gegenstand, Art, Zweck, Datenkategorien, Kategorien betroffener Personen sowie die Dauer der Verarbeitung sind in Anlage 1 beschrieben. Eine Verarbeitung zu eigenen Zwecken findet nicht statt.

3. Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Hält er eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich. Mündliche Weisungen werden unverzüglich schriftlich oder in Textform bestätigt.

4. Pflichten des Auftragsverarbeiters

5. Technische und organisatorische Maßnahmen (TOM)

Die vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO sind in Anlage 2 dokumentiert und Bestandteil dieses Vertrags. Sie werden bei Bedarf an den Stand der Technik angepasst, ohne das vereinbarte Schutzniveau zu unterschreiten.

6. Unterauftragsverhältnisse

Unterauftragsverarbeiter: Eingesetzte Hosting-, Kommunikations- und sonstige Unterauftragsverarbeiter sind in der jeweils aktuellen, kundenspezifischen Anlage aufzuführen. Maßgeblich ist ausschließlich die tatsächlich eingesetzte technische und vertragliche Lieferkette.

Sollte künftig ein Unterauftragsverarbeiter eingesetzt werden, erfolgt dies nur nach vorheriger Information des Verantwortlichen, der innerhalb einer angemessenen Frist widersprechen kann. Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter auf dieselben Datenschutzpflichten (Art. 28 Abs. 4 DSGVO). Der Betreiber des Rechenzentrums (reine Colocation/Stellfläche) erhält keinen Zugriff auf personenbezogene Daten und gilt nicht als Unterauftragsverarbeiter.

7. Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Erfüllung der Rechte betroffener Personen. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet er das Anliegen unverzüglich an den Verantwortlichen weiter.

8. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, und unterstützt bei den Pflichten nach Art. 33, 34 DSGVO.

9. Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der getroffenen Maßnahmen zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragsverarbeiter weist die Einhaltung auf Anfrage nach, etwa durch die TOM-Dokumentation oder geeignete Nachweise. Vor-Ort-Prüfungen erfolgen nach rechtzeitiger Ankündigung und ohne unangemessene Störung des Betriebs.

10. Löschung und Rückgabe

Nach Abschluss der Leistungen löscht oder übergibt der Auftragsverarbeiter — nach Wahl des Verantwortlichen — sämtliche personenbezogenen Daten und vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird auf Verlangen bestätigt.

11. Haftung & Schlussbestimmungen

Es gelten die Haftungsregelungen der DSGVO (Art. 82) sowie die zwischen den Parteien vereinbarten Bedingungen. Änderungen bedürfen der Schriftform bzw. Textform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1 – Beschreibung der Verarbeitung

Art der VerarbeitungFernwartung (Remote-Zugriff), Monitoring, Inventarisierung, Patch-Management, Skriptausführung, Bereitstellung/Betrieb virtueller Server, Backup. Bei einer Bildschirmsitzung wird dem Nutzer am Gerät ein deutlich sichtbarer Hinweis angezeigt („Desktop wird geteilt mit Benjamin Raulf – BR-Systems“).
ZweckBetrieb, Wartung und Absicherung der IT-Systeme des Verantwortlichen im Rahmen des Dienstleistungsvertrags
Kategorien personenbezogener DatenSystem- und Protokolldaten, Benutzer- und Kontaktdaten von Administratoren/Beschäftigten, Inventardaten; mittelbar ggf. auf den Systemen gespeicherte personenbezogene Daten des Verantwortlichen
Kategorien betroffener PersonenBeschäftigte und Administratoren des Verantwortlichen; mittelbar Personen, deren Daten auf den betreuten Systemen verarbeitet werden
DauerFür die Laufzeit des Dienstleistungsvertrags
Ort der VerarbeitungRechenzentrum (Colocation) Hannover, Deutschland — ausschließlich EU/EWR
Wichtiger Hinweis: Dies ist ein unverbindliches Muster und ersetzt keine Rechtsberatung. Vor Verwendung sollte der Vertrag an den konkreten Einzelfall angepasst und idealerweise anwaltlich bzw. durch einen Datenschutzbeauftragten geprüft werden. Anlage 2 (TOM) ist beizufügen.
Ort, Datum · Verantwortlicher (Kunde)
Ort, Datum · BR-Systems
BR-Systems · Benjamin Raulf · Müdener Straße 15a · 29345 Unterlüß · Tel. 0179 160 1700 · info@br-systems.eu — Muster ohne Gewähr auf Vollständigkeit oder Rechtssicherheit. Kein Ersatz für eine individuelle Rechtsberatung.