Auftragsverarbeitungsvertrag (AVV)

Data Processing Agreement (DPA)

Stand / Last updated: 03.07.2026DeutschEnglish

Dieser AVV ist Bestandteil des Vertrages über die Nutzung von SolutionDesk (AGB). Die deutsche Fassung ist rechtlich maßgeblich; die englische Fassung dient nur der Information.

Präambel

Der Kunde („Verantwortlicher“) nutzt die SaaS-Anwendung SolutionDesk der wemogy GmbH, Graf-Bernadotte-Straße 23, 47906 Kempen („Auftragsverarbeiter“). Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen. Dieser Vertrag konkretisiert die Pflichten der Parteien nach Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung ist der Betrieb der Ticket- und Aufgabenverwaltung SolutionDesk für den Verantwortlichen, einschließlich des Endnutzer-Portals, der API-Schnittstellen und des Versands transaktionaler E-Mail-Benachrichtigungen.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (AGB). Die Pflichten aus § 9 (Löschung und Rückgabe) bestehen darüber hinaus fort.

§ 2 Art und Zweck der Verarbeitung; Datenarten; Betroffene

(1) Art und Zweck: Erhebung, Speicherung, Anzeige, Übermittlung an berechtigte Nutzer und Löschung von Daten zum Zweck der Bearbeitung von Support-Tickets und Aufgaben des Verantwortlichen sowie der Bereitstellung eines Kundenportals für dessen Endnutzer.

(2) Arten personenbezogener Daten:

  • Stammdaten der Endnutzer des Verantwortlichen (Name, E-Mail-Adresse, Kennungen des Verantwortlichen, Unternehmenszuordnung);
  • Inhaltsdaten aus Tickets, Aufgaben und Kommentaren (vom Verantwortlichen und seinen Endnutzern eingegebene Freitexte und Anhänge);
  • Nutzungs- und Protokolldaten (Portal-Sitzungen, Magic-Link-Zugriffe, Zeitstempel, technische Metadaten);
  • Daten der Mitarbeiter des Verantwortlichen, die den Dienst als Nutzer bedienen.

(3) Kategorien betroffener Personen: Endnutzer bzw. Kunden des Verantwortlichen, Mitarbeiter des Verantwortlichen, sonstige Personen, deren Daten der Verantwortliche oder seine Endnutzer in Tickets einstellen.

(4) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der vereinbarten Verarbeitung. Der Verantwortliche stellt sicher, dass solche Daten nicht ohne gesonderte Vereinbarung in den Dienst eingestellt werden.

§ 3 Weisungsgebundenheit (Art. 28 Abs. 3 lit. a DSGVO)

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung in ein Drittland oder an eine internationale Organisation —, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

(2) Die Nutzung des Dienstes und seiner Konfigurationsmöglichkeiten durch den Verantwortlichen gilt als dokumentierte Weisung. Weitergehende Weisungen bedürfen der Textform. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt; er kann die Ausführung bis zur Bestätigung aussetzen.

§ 4 Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass die Vertraulichkeitspflicht nach Beendigung ihrer Tätigkeit fortbesteht.

§ 5 Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c, Art. 32 DSGVO)

(1) Der Auftragsverarbeiter trifft die in der Anlage „TOM“ beschriebenen technischen und organisatorischen Maßnahmen und hält sie während der Vertragslaufzeit aufrecht.

(2) Die Maßnahmen dürfen an die technische Entwicklung angepasst werden, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert.

§ 6 Subauftragsverarbeiter (Art. 28 Abs. 2, 3 lit. d, 4 DSGVO)

(1) Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der in der Anlage „Subauftragsverarbeiter“ aufgeführten Subauftragsverarbeiter.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen in Textform über jede beabsichtigte Hinzuziehung oder Ersetzung eines Subauftragsverarbeiters. Der Verantwortliche kann der Änderung innerhalb von 30 Tagen nach Zugang der Information aus wichtigem datenschutzrechtlichem Grund widersprechen. Ist keine einvernehmliche Lösung möglich, können beide Parteien den Hauptvertrag zum Zeitpunkt des geplanten Einsatzes kündigen.

(3) Der Auftragsverarbeiter erlegt jedem Subauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind. Kommt der Subauftragsverarbeiter seinen Pflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Subauftragsverarbeiters.

§ 7 Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen nach Kapitel III der DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) zu beantworten. Anfragen betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, leitet dieser unverzüglich an den Verantwortlichen weiter, ohne selbst inhaltlich zu antworten. Unterstützungsleistungen erfolgen innerhalb angemessener Frist, in der Regel binnen zehn Werktagen.

§ 8 Unterstützung nach Art. 32–36 DSGVO; Meldung von Verletzungen (Art. 28 Abs. 3 lit. f DSGVO)

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Benachrichtigung Betroffener, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(2) Verletzungen des Schutzes personenbezogener Daten, die die im Auftrag verarbeiteten Daten betreffen, meldet der Auftragsverarbeiter dem Verantwortlichen unverzüglich nach Bekanntwerden an die vom Verantwortlichen hinterlegte Kontaktadresse. Die Meldung enthält, soweit verfügbar, die Angaben nach Art. 33 Abs. 3 DSGVO und wird bei neuen Erkenntnissen ergänzt. Die Frist des Art. 33 Abs. 1 DSGVO gegenüber der Aufsichtsbehörde wahrt der Verantwortliche.

§ 9 Löschung und Rückgabe (Art. 28 Abs. 3 lit. g DSGVO)

(1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie in einem gängigen, maschinenlesbaren Format zurück, es sei denn, es besteht nach dem Recht der Union oder der Mitgliedstaaten eine Pflicht zur weiteren Speicherung.

(2) Übt der Verantwortliche sein Wahlrecht nicht binnen 30 Tagen nach Vertragsende aus, löscht der Auftragsverarbeiter die Daten. Die Löschung aus Backups erfolgt spätestens mit dem regulären Backup-Zyklus. Die Löschung wird auf Verlangen bestätigt.

§ 10 Nachweis und Kontrollrechte (Art. 28 Abs. 3 lit. h DSGVO)

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind, insbesondere aktuelle TOM-Beschreibungen und vorhandene Prüfberichte oder Zertifikate.

(2) Der Verantwortliche kann Überprüfungen — einschließlich Inspektionen — selbst oder durch einen zur Verschwiegenheit verpflichteten, nicht im Wettbewerb zum Auftragsverarbeiter stehenden Prüfer durchführen. Inspektionen vor Ort erfolgen nach angemessener Vorankündigung (in der Regel 14 Tage), während der üblichen Geschäftszeiten, höchstens einmal jährlich, es sei denn, ein konkreter Anlass (insbesondere eine Datenschutzverletzung oder behördliche Anordnung) erfordert eine weitere Prüfung. Jede Partei trägt ihre eigenen Kosten.

§ 11 Drittlandübermittlungen

(1) Die Verarbeitung findet grundsätzlich in Rechenzentren innerhalb der Europäischen Union statt (Microsoft Azure, EU-Region).

(2) Soweit für den Versand transaktionaler E-Mails der Subauftragsverarbeiter Resend (USA) eingesetzt wird, erfolgt die Übermittlung auf Grundlage eines Angemessenheitsbeschlusses nach Art. 45 DSGVO (EU-U.S. Data Privacy Framework) bzw., soweit dieser nicht greift, auf Grundlage der EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO nebst erforderlicher zusätzlicher Maßnahmen. Einzelheiten enthält die Anlage „Subauftragsverarbeiter“.

§ 12 Schlussbestimmungen

(1) Für die Haftung der Parteien gilt Art. 82 DSGVO; im Übrigen gelten die Haftungsregelungen des Hauptvertrages.

(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht dieser AVV in Bezug auf die Verarbeitung personenbezogener Daten im Auftrag vor. Im Übrigen gelten die Schlussbestimmungen des Hauptvertrages (deutsches Recht, Gerichtsstand am Sitz des Auftragsverarbeiters).

Anlage 1: Technische und organisatorische Maßnahmen (TOM)

Zutritts- und Zugangskontrolle

  • Betrieb in zertifizierten Rechenzentren von Microsoft Azure (u. a. ISO/IEC 27001); physische Sicherheit durch den Rechenzentrumsbetreiber.
  • Zugang zu Produktionssystemen nur für autorisierte Mitarbeiter über personalisierte Konten mit Multi-Faktor-Authentifizierung.

Zugriffskontrolle und Mandantentrennung

  • Strikte logische Mandantentrennung: jede Datenbankoperation ist an den Mandanten (Partitionsschlüssel) gebunden; mandantenübergreifende Zugriffe sind technisch unterbunden.
  • Rollen- und Berechtigungskonzept; Endnutzer erhalten ausschließlich zeitlich begrenzte, vom Verantwortlichen vermittelte Portal-Sitzungen mit beschränktem Sichtbarkeitsumfang.
  • API-Zugriffe nur mit mandantengebundenen, widerrufbaren API-Schlüsseln.

Übertragungs- und Eingabekontrolle

  • Transportverschlüsselung (TLS) für alle Verbindungen; Verschlüsselung ruhender Daten.
  • Protokollierung sicherheitsrelevanter Ereignisse und administrativer Zugriffe.
  • Geheimnisse (z. B. SMTP-Zugangsdaten) werden in einem Secret-Store (Key Vault) und nicht in der Datenbank gespeichert.

Verfügbarkeits- und Trennungskontrolle

  • Regelmäßige, automatisierte Datensicherungen; Wiederherstellungsverfahren werden getestet.
  • Trennung von Entwicklungs-, Test- und Produktionsumgebungen.

Organisatorische Maßnahmen

  • Vertraulichkeitsverpflichtung aller Mitarbeiter; Schulung zu Datenschutz und Informationssicherheit.
  • Prozess für die Behandlung von Sicherheitsvorfällen einschließlich Meldewegen nach § 8.
  • Auswahl von Subauftragsverarbeitern nach Art. 28 DSGVO einschließlich Abschluss von Auftragsverarbeitungsverträgen.

Anlage 2: Subauftragsverarbeiter

  • Microsoft Ireland Operations Ltd. (Microsoft Azure), One Microsoft Place, Dublin, Irland — Hosting, Datenbank (Cosmos DB), Dateispeicher, Key Vault; Verarbeitung in EU-Rechenzentren. Etwaige Übermittlungen an die Microsoft Corporation (USA) sind durch das EU-U.S. Data Privacy Framework und EU-Standardvertragsklauseln abgesichert.
  • Resend, Inc., San Francisco, USA — Versand transaktionaler E-Mails (Anmelde- und Benachrichtigungs-E-Mails); übermittelt werden E-Mail-Adresse und Nachrichteninhalt. Absicherung nach § 11 Abs. 2.

Nutzt der Verantwortliche eigene SMTP-Zugangsdaten für den Versand von Benachrichtigungen, ist der von ihm gewählte E-Mail-Anbieter kein Subauftragsverarbeiter des Auftragsverarbeiters.


Courtesy translation. This DPA forms part of the SolutionDesk agreement (Terms of Service). The German version above is the legally binding version.

Preamble

The customer (“Controller”) uses the SaaS application SolutionDesk provided by wemogy GmbH, Graf-Bernadotte-Straße 23, 47906 Kempen, Germany (“Processor”). In doing so, the Processor processes personal data on behalf of the Controller. This agreement specifies the parties’ obligations under Art. 28 GDPR.

Sec. 1 Subject Matter and Duration

(1) The subject matter of the processing is the operation of the ticket and task management application SolutionDesk for the Controller, including the end-user portal, the API interfaces and the sending of transactional e-mail notifications.

(2) The duration of the processing corresponds to the term of the main agreement (Terms of Service). The obligations under Sec. 9 (deletion and return) survive its termination.

Sec. 2 Nature and Purpose; Types of Data; Data Subjects

(1) Nature and purpose: collection, storage, display, disclosure to authorised users and deletion of data for the purpose of handling the Controller’s support tickets and tasks and providing a customer portal for its end users.

(2) Types of personal data:

  • master data of the Controller’s end users (name, e-mail address, identifiers of the Controller, company assignment);
  • content data from tickets, tasks and comments (free text and attachments entered by the Controller and its end users);
  • usage and log data (portal sessions, magic-link access, timestamps, technical metadata);
  • data of the Controller’s staff members operating the Service as users.

(3) Categories of data subjects: end users and customers of the Controller, staff members of the Controller, other persons whose data the Controller or its end users enter into tickets.

(4) Special categories of personal data (Art. 9 GDPR) are not part of the agreed processing. The Controller ensures that such data are not entered into the Service without a separate agreement.

Sec. 3 Processing on Documented Instructions (Art. 28(3)(a) GDPR)

(1) The Processor processes personal data only on documented instructions from the Controller — including with regard to transfers to a third country or an international organisation — unless required to do so by Union or Member State law; in such a case, the Processor informs the Controller of that legal requirement before processing, unless that law prohibits such information.

(2) The Controller’s use of the Service and its configuration options constitutes documented instructions. Further instructions require text form. The Processor immediately informs the Controller if, in its opinion, an instruction infringes the GDPR or other data protection provisions and may suspend execution until confirmed.

Sec. 4 Confidentiality (Art. 28(3)(b) GDPR)

The Processor ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality, and that this obligation survives the end of their engagement.

Sec. 5 Technical and Organisational Measures (Art. 28(3)(c), Art. 32 GDPR)

(1) The Processor implements the technical and organisational measures described in Annex “TOMs” and maintains them during the term of this agreement.

(2) The measures may be adapted to technical progress provided the agreed level of protection is not reduced. Material changes are documented.

Sec. 6 Sub-processors (Art. 28(2), (3)(d), (4) GDPR)

(1) The Controller grants general authorisation for the engagement of the sub-processors listed in Annex “Sub-processors”.

(2) The Processor informs the Controller in text form of any intended addition or replacement of a sub-processor. The Controller may object to the change within 30 days of receipt of the information for important data protection reasons. If no amicable solution can be found, either party may terminate the main agreement with effect from the date of the intended engagement.

(3) The Processor imposes on each sub-processor by contract the same data protection obligations as set out in this DPA. Where the sub-processor fails to fulfil its obligations, the Processor remains fully liable to the Controller for the performance of the sub-processor’s obligations.

Sec. 7 Assistance with Data Subject Rights (Art. 28(3)(e) GDPR)

The Processor assists the Controller by appropriate technical and organisational measures in responding to requests of data subjects under Chapter III GDPR (in particular access, rectification, erasure, data portability). Requests received directly by the Processor are forwarded to the Controller without undue delay and without the Processor responding on the merits. Assistance is provided within a reasonable period, as a rule within ten business days.

Sec. 8 Assistance under Art. 32–36 GDPR; Breach Notification (Art. 28(3)(f) GDPR)

(1) Taking into account the nature of the processing and the information available to it, the Processor assists the Controller in complying with the obligations under Art. 32 to 36 GDPR (security of processing, breach notification, communication to data subjects, data protection impact assessment, prior consultation).

(2) The Processor notifies the Controller of any personal data breach affecting the data processed on the Controller’s behalf without undue delay after becoming aware of it, using the contact address provided by the Controller. The notification contains, where available, the information under Art. 33(3) GDPR and is supplemented as new findings emerge. The deadline of Art. 33(1) GDPR vis-à-vis the supervisory authority is the Controller’s responsibility.

Sec. 9 Deletion and Return (Art. 28(3)(g) GDPR)

(1) After the end of the main agreement, the Processor, at the choice of the Controller, deletes all personal data processed on the Controller’s behalf or returns them in a common, machine-readable format, unless Union or Member State law requires further storage.

(2) If the Controller does not exercise its choice within 30 days after the end of the agreement, the Processor deletes the data. Deletion from backups occurs at the latest with the regular backup cycle. Deletion is confirmed upon request.

Sec. 10 Demonstration of Compliance and Audits (Art. 28(3)(h) GDPR)

(1) The Processor makes available to the Controller all information necessary to demonstrate compliance with the obligations under Art. 28 GDPR, in particular current descriptions of the TOMs and existing audit reports or certifications.

(2) The Controller may carry out audits — including inspections — itself or through an auditor bound to confidentiality and not in competition with the Processor. On-site inspections take place upon reasonable advance notice (as a rule 14 days), during regular business hours and at most once per year, unless a specific occasion (in particular a personal data breach or an order by a supervisory authority) requires a further audit. Each party bears its own costs.

Sec. 11 Third-Country Transfers

(1) Processing generally takes place in data centres within the European Union (Microsoft Azure, EU region).

(2) To the extent the sub-processor Resend (USA) is used for sending transactional e-mails, the transfer is based on an adequacy decision under Art. 45 GDPR (EU-U.S. Data Privacy Framework) or, where it does not apply, on the EU Standard Contractual Clauses under Art. 46(2)(c) GDPR together with any necessary supplementary measures. Details are set out in Annex “Sub-processors”.

Sec. 12 Final Provisions

(1) The parties’ liability is governed by Art. 82 GDPR; in all other respects, the liability provisions of the main agreement apply.

(2) In case of conflicts between this DPA and the main agreement, this DPA prevails with respect to the processing of personal data on behalf of the Controller. In all other respects, the final provisions of the main agreement apply (German law, place of jurisdiction at the Processor’s seat).

Annex 1: Technical and Organisational Measures (TOMs)

Physical and system access control

  • Operation in certified Microsoft Azure data centres (including ISO/IEC 27001); physical security is provided by the data centre operator.
  • Access to production systems only for authorised staff via personal accounts with multi-factor authentication.

Data access control and tenant isolation

  • Strict logical tenant isolation: every database operation is bound to the tenant (partition key); cross-tenant access is technically prevented.
  • Role and permission model; end users only receive time-limited portal sessions brokered by the Controller with a restricted visibility scope.
  • API access only with tenant-bound, revocable API keys.

Transfer and input control

  • Transport encryption (TLS) for all connections; encryption of data at rest.
  • Logging of security-relevant events and administrative access.
  • Secrets (e.g. SMTP credentials) are stored in a secret store (Key Vault), not in the database.

Availability and separation control

  • Regular automated backups; recovery procedures are tested.
  • Separation of development, test and production environments.

Organisational measures

  • Confidentiality obligations for all staff; training on data protection and information security.
  • Security incident handling process, including the notification channels under Sec. 8.
  • Selection of sub-processors in accordance with Art. 28 GDPR, including conclusion of data processing agreements.

Annex 2: Sub-processors

  • Microsoft Ireland Operations Ltd. (Microsoft Azure), One Microsoft Place, Dublin, Ireland — hosting, database (Cosmos DB), file storage, Key Vault; processing in EU data centres. Any transfers to Microsoft Corporation (USA) are safeguarded by the EU-U.S. Data Privacy Framework and EU Standard Contractual Clauses.
  • Resend, Inc., San Francisco, USA — sending of transactional e-mails (sign-in and notification e-mails); the data transferred are the e-mail address and the message content. Safeguards as per Sec. 11(2).

Where the Controller uses its own SMTP credentials for sending notifications, the e-mail provider chosen by the Controller is not a sub-processor of the Processor.