← Back
BR-Systems.Benjamin Raulf · Müdener Straße 15a · 29345 Unterlüß
TEMPLATE
AVV · Stand 2026 · v1.0

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch BR-Systems im Auftrag des Kunden — insbesondere im Rahmen von Remote maintenance, Monitoring und Operations (RMM) sowie der Bereitstellung virtueller Server (Private Cloud).

1. Vertragsparteien

Controller (Client / Kunde)
Processor
BR-Systems, Benjamin Raulf
Anschrift / vertretungsberechtigte Person
Anschrift
Müdener Straße 15a, 29345 Unterlüß

2. Subject matter, nature and purpose of processing

Der Processor verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vereinbarten Services. Gegenstand, Art, Zweck, Datenkategorien, Kategorien betroffener Personen sowie die Duration der Verarbeitung sind in Annex 1 beschrieben. Eine Verarbeitung zu eigenen Zwecken findet nicht statt.

3. Instructions

Der Processor verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Hält er eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich. Mündliche Weisungen werden unverzüglich schriftlich oder in Textform bestätigt.

4. Pflichten des Processors

5. Technical and organisational measures (TOM)

Die vom Processor getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO sind in Annex 2 dokumentiert und Bestandteil dieses Vertrags. Sie werden bei Bedarf an den Stand der Technik angepasst, ohne das vereinbarte Schutzniveau zu unterschreiten.

6. Sub-processors

Unterauftragsverarbeiter: Eingesetzte Hosting-, Kommunikations- und sonstige Unterauftragsverarbeiter sind in der jeweils aktuellen, kundenspezifischen Annex aufzuführen. Maßgeblich ist ausschließlich die tatsächlich eingesetzte technische und vertragliche Lieferkette.

Sollte künftig ein Unterauftragsverarbeiter eingesetzt werden, erfolgt dies nur nach vorheriger Information des Verantwortlichen, der innerhalb einer angemessenen Frist widersprechen kann. Der Processor verpflichtet jeden Unterauftragsverarbeiter auf dieselben Datenschutzpflichten (Art. 28 Abs. 4 DSGVO). Der Betreiber des Rechenzentrums (reine Colocation/Stellfläche) erhält keinen Zugriff auf personenbezogene Daten und gilt nicht als Unterauftragsverarbeiter.

7. Data subject rights

Der Processor unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Erfüllung der Rechte betroffener Personen. Wendet sich eine betroffene Person direkt an den Processor, leitet er das Anliegen unverzüglich an den Verantwortlichen weiter.

8. Meldung von Datenschutzverletzungen

Der Processor meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, und unterstützt bei den Pflichten nach Art. 33, 34 DSGVO.

9. Audit rights

Der Verantwortliche hat das Recht, die Einhaltung der getroffenen Maßnahmen zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Der Processor weist die Einhaltung auf Request nach, etwa durch die TOM-Documentation oder geeignete Nachweise. On-site-Prüfungen erfolgen nach rechtzeitiger Ankündigung und ohne unangemessene Störung des Betriebs.

10. Deletion and return

Nach Abschluss der Services löscht oder übergibt der Processor — nach Wahl des Verantwortlichen — sämtliche personenbezogenen Daten und vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird auf Verlangen bestätigt.

11. Haftung & Schlussbestimmungen

Es gelten die Haftungsregelungen der DSGVO (Art. 82) sowie die zwischen den Parteien vereinbarten Bedingungen. Änderungen bedürfen der Schriftform bzw. Textform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Annex 1 – Beschreibung der Verarbeitung

Art der VerarbeitungRemote maintenance (Remote-Zugriff), Monitoring, Inventarisierung, Patch-Management, Skriptausführung, Bereitstellung/Operations virtueller Server, Backup. Bei einer Bildschirmsitzung wird dem Nutzer am Gerät ein deutlich sichtbarer Note angezeigt („Desktop wird geteilt mit Benjamin Raulf – BR-Systems“).
ZweckOperations, Maintenance und Absicherung der IT-Systeme des Verantwortlichen im Rahmen des Dienstleistungsvertrags
Kategorien personenbezogener DatenSystem- und Protokolldaten, Benutzer- und Kontaktdaten von Administratoren/Beschäftigten, Inventardaten; mittelbar ggf. auf den Systemen gespeicherte personenbezogene Daten des Verantwortlichen
Kategorien betroffener PersonenBeschäftigte und Administratoren des Verantwortlichen; mittelbar Personen, deren Daten auf den betreuten Systemen verarbeitet werden
DurationFür die Laufzeit des Dienstleistungsvertrags
Ort der VerarbeitungRechenzentrum (Colocation) Hannover, Germany — ausschließlich EU/EWR
Important note: Dies ist ein non-bindinges Muster und ersetzt keine Rechtsberatung. Vor Verwendung sollte der Vertrag an den konkreten Einzelfall angepasst und idealerweise anwaltlich bzw. durch einen Datenschutzbeauftragten geprüft werden. Annex 2 (TOM) ist beizufügen.
Ort, Datum · Controller (Kunde)
Ort, Datum · BR-Systems
BR-Systems · Benjamin Raulf · Müdener Straße 15a · 29345 Unterlüß · Tel. 0179 160 1700 · info@br-systems.eu — Muster ohne Gewähr auf Vollständigkeit oder Rechtssicherheit. Kein Ersatz für eine individuelle Rechtsberatung.