Anrufen
StartseiteAVV

Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Stand: Juni 2026 · Koreva eG, Magdeburg

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen

[Name und Anschrift des Auftraggebers]
(nachfolgend „Verantwortlicher")

— und —

Koreva eG, Ostendorfer Straße 1, 39130 Magdeburg,
eingetragen im Genossenschaftsregister des Amtsgerichts Stendal
(nachfolgend „Auftragsverarbeiter")

Die Parteien schließen diesen AVV in Ergänzung zu ihrem Hauptvertrag (Dienstleistungsvertrag bzw. AGB der Koreva eG, nachfolgend „Hauptvertrag") ab. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV in Bezug auf Fragen der Auftragsverarbeitung Vorrang.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag und nach Weisung des Verantwortlichen im Rahmen des Hauptvertrags. Der konkrete Gegenstand, Zweck und Umfang der Verarbeitung ergibt sich aus der Anlage I zu diesem AVV.

(2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags. Er endet automatisch mit Beendigung des Hauptvertrags, sofern sich aus den Pflichten zur Löschung oder Rückgabe gemäß § 10 nichts anderes ergibt.

§ 2 Art und Zweck der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der im Hauptvertrag vereinbarten IT-Dienstleistungen. Art, Umfang und Zweck der Verarbeitung sowie die betroffenen Datenkategorien und Personengruppen sind in Anlage I beschrieben.

(2) Eine Verarbeitung der personenbezogenen Daten zu eigenen Zwecken des Auftragsverarbeiters ist unzulässig. Insbesondere dürfen die Daten nicht für Werbezwecke, Profiling oder andere Zwecke außerhalb des Hauptvertrags genutzt werden.

§ 3 Weisungsgebundenheit

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland zur Verarbeitung verpflichtet; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

(2) Weisungen des Verantwortlichen werden schriftlich (einschließlich E-Mail) erteilt. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(3) Weist der Auftragsverarbeiter nach pflichtgemäßer Prüfung darauf hin, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Vorschriften verstößt, ist er berechtigt, die Ausführung der Weisung bis zur schriftlichen Bestätigung durch den Verantwortlichen auszusetzen. Der Verantwortliche trägt die Verantwortung für die Rechtmäßigkeit seiner Weisungen.

§ 4 Vertraulichkeit

(1) Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(2) Die Vertraulichkeitspflicht besteht auch nach Beendigung des AVV fort.

(3) Der Auftragsverarbeiter stellt sicher, dass nur solche Mitarbeiter Zugang zu den relevanten personenbezogenen Daten erhalten, die diesen Zugang für die Erfüllung der Aufgaben aus dem Hauptvertrag benötigen (Need-to-know-Prinzip).

§ 5 Technische und organisatorische Maßnahmen (TOMs)

(1) Der Auftragsverarbeiter trifft vor Beginn der Verarbeitung die in Anlage II beschriebenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus (Art. 28 Abs. 3 lit. c, Art. 32 DSGVO).

(2) Der Auftragsverarbeiter ist berechtigt, die TOMs weiterzuentwickeln und anzupassen, solange das Schutzniveau nicht unterschritten wird. Wesentliche Änderungen, die das Sicherheitsniveau beeinträchtigen könnten, sind dem Verantwortlichen unverzüglich mitzuteilen.

(3) Der Verantwortliche hat das Recht, die Einhaltung der TOMs vor und während der Verarbeitung zu überprüfen; Näheres regelt § 11.

§ 6 Einsatz von Subauftragsverarbeitern (Unterauftragsverhältnisse)

(1) Der Verantwortliche erteilt hiermit die allgemeine Genehmigung zur Hinzuziehung der nachfolgend aufgeführten Subauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügen oder Ersetzen von Subauftragsverarbeitern) und gibt dem Verantwortlichen damit die Möglichkeit, Einwände gegen diese Änderungen zu erheben.

(2) Zum Zeitpunkt des Abschlusses dieses AVV werden folgende Subauftragsverarbeiter eingesetzt:

Subauftragsverarbeiter Sitz Zweck der Verarbeitung Drittlandtransfer Schutzmaßnahmen
Read AI, Inc. (read.ai) San Francisco, USA Transkription und KI-Zusammenfassung von Online-Meetings USA (Drittland) EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
Formspree, Inc. USA Verarbeitung von Kontaktformular-Anfragen (Name, E-Mail, Nachricht) USA (Drittland) EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
Cloudflare, Inc. San Francisco, USA CDN, DNS, DDoS-Schutz, Web Application Firewall USA (Drittland) EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO; Cloudflare ist zudem nach dem EU-U.S. Data Privacy Framework zertifiziert

(3) Beabsichtigt der Auftragsverarbeiter, weitere Subauftragsverarbeiter einzusetzen oder einen bestehenden zu ersetzen, informiert er den Verantwortlichen mindestens 14 Tage vor dem beabsichtigten Einsatz per E-Mail. Der Verantwortliche kann gegen die Änderung innerhalb von 14 Tagen nach Erhalt der Mitteilung Einwand erheben. Erhebt der Verantwortliche fristgerecht Einwand, ist eine einvernehmliche Lösung zu suchen; gelingt diese nicht, steht dem Verantwortlichen ein Sonderkündigungsrecht für den Hauptvertrag zu.

(4) Der Auftragsverarbeiter schließt mit jedem Subauftragsverarbeiter einen Vertrag, der diesem dieselben Datenschutzverpflichtungen auferlegt, die der Auftragsverarbeiter gegenüber dem Verantwortlichen trägt (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten durch den Subauftragsverarbeiter.

§ 7 Unterstützungspflichten des Auftragsverarbeiters

(1) Betroffenenrechte: Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gemäß Art. 15–22 DSGVO), soweit diese Anfragen die vom Auftragsverarbeiter verarbeiteten Daten betreffen (Art. 28 Abs. 3 lit. e DSGVO). Aufwand, der über den vertragsgemäßen Rahmen hinausgeht, wird gesondert vergütet.

(2) Datenschutz-Folgenabschätzung und Vorabkonsultation: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und ggf. Vorabkonsultationen (Art. 36 DSGVO), soweit diese die durch den Auftragsverarbeiter durchgeführten Verarbeitungen betreffen (Art. 28 Abs. 3 lit. f DSGVO).

(3) Datenschutzverletzungen: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden einer Datenschutzverletzung gemäß Art. 33 DSGVO, die die beim Auftragsverarbeiter verarbeiteten Daten des Verantwortlichen betrifft. Die Meldung enthält soweit bekannt: Beschreibung der Art der Verletzung, betroffene Datenkategorien und -mengen, Identität der betroffenen Personen, wahrscheinliche Folgen und ergriffene Maßnahmen. Der Auftragsverarbeiter wirkt an der Erstellung des Berichts an die Aufsichtsbehörde mit.

§ 8 Verzeichnis von Verarbeitungstätigkeiten

Der Auftragsverarbeiter führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO, das alle im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten enthält, und stellt dieses dem Verantwortlichen auf Anforderung zur Verfügung.

§ 9 Datensicherheit

(1) Der Auftragsverarbeiter trifft und hält alle erforderlichen technischen und organisatorischen Maßnahmen aufrecht, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Die konkret umgesetzten Maßnahmen sind in Anlage II beschrieben.

(2) Der Auftragsverarbeiter stellt sicher, dass eingesetzte Systeme und Verfahren regelmäßig auf Sicherheitslücken überprüft werden und erkannte Schwachstellen zeitnah behoben werden.

§ 10 Löschung oder Rückgabe nach Vertragsende

(1) Nach Beendigung des Hauptvertrags ist der Auftragsverarbeiter verpflichtet, nach Wahl des Verantwortlichen alle personenbezogenen Daten entweder zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).

(2) Der Verantwortliche erklärt seine Wahl (Rückgabe oder Löschung) schriftlich spätestens bei Beendigung des Hauptvertrags. Ohne fristgemäße Erklärung löscht der Auftragsverarbeiter die Daten.

(3) Die Löschung oder Rückgabe erfolgt innerhalb von 30 Tagen nach Beendigung des Hauptvertrags. Der Auftragsverarbeiter bestätigt die vollständige Löschung schriftlich gegenüber dem Verantwortlichen.

§ 11 Nachweispflichten und Kontrollrechte

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen von ihm beauftragten Prüfer (Art. 28 Abs. 3 lit. h DSGVO).

(2) Überprüfungen vor Ort bedürfen einer schriftlichen Ankündigung mit einer Frist von mindestens 14 Tagen, sind auf das zur Überprüfung erforderliche Maß zu beschränken und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen. Sie finden zu üblichen Geschäftszeiten statt.

(3) Als gleichwertiger Nachweis können anerkannte Prüf- und Zertifizierungsverfahren (z. B. ISO 27001, BSI IT-Grundschutz, SOC 2) anerkannt werden. Der Auftragsverarbeiter kann die Kosten für aufwändige Audits gesondert in Rechnung stellen.

(4) Prüfer, die der Verantwortliche einsetzt, müssen einer angemessenen Vertraulichkeitsverpflichtung unterliegen.

§ 12 Haftung

(1) Die Haftung der Parteien für Schäden aus Verletzungen dieses AVV richtet sich nach den allgemeinen Bestimmungen der DSGVO (Art. 82 DSGVO) sowie nach den Haftungsregelungen im Hauptvertrag (AGB der Koreva eG, § 8).

(2) Der Auftragsverarbeiter wird von der Haftung befreit, soweit er nachweist, dass er für den Umstand, der den Schaden verursacht hat, nicht verantwortlich ist (Art. 82 Abs. 3 DSGVO).

(3) Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter frei, die auf einer Weisung des Verantwortlichen beruhen, die gegen das Datenschutzrecht verstößt.

§ 13 Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist Magdeburg.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.

(3) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.

(4) Im Übrigen gelten die Schlussbestimmungen der AGB der Koreva eG entsprechend, soweit sie nicht durch diesen AVV abgeändert werden.

Anlage I: Beschreibung der Verarbeitungstätigkeiten

Diese Anlage konkretisiert die Verarbeitungstätigkeiten gemäß Art. 28 Abs. 3 DSGVO und ist Bestandteil des AVV.

Merkmal Beschreibung
Gegenstand der Verarbeitung Erbringung von IT-Dienstleistungen gemäß Hauptvertrag, insbesondere IT-Beratung, Penetrationstests, Nextcloud-Administration, Netzwerkadministration, IT-Schulungen, Virtualisierung, KI-Implementierung und Automatisierung. Im Rahmen dieser Tätigkeiten kann Koreva Zugang zu Systemen, Anwendungen oder Datenbeständen des Verantwortlichen erhalten, die personenbezogene Daten enthalten.
Zweck der Verarbeitung Ausschließlich zur Erfüllung der im Hauptvertrag vereinbarten IT-Dienstleistungen; Pflege, Administration, Sicherheitsprüfung und Optimierung der IT-Infrastruktur und IT-Systeme des Verantwortlichen; Schulung von Mitarbeitern des Verantwortlichen.
Art der Verarbeitung Erhebung (bei Zugangsdaten, Log-Dateien), Speicherung (temporäre Arbeitskopien, Meeting-Transkripte), Zugriff (Fernzugriff auf Systeme), Übertragung (zwischen Systemen), Analyse (Sicherheitsanalysen, Log-Auswertung), Löschung (nach Projektabschluss).
Kategorien personenbezogener Daten
  • Kontaktdaten von Mitarbeitern des Verantwortlichen (Name, E-Mail, Telefon, Benutzernamen)
  • Authentifizierungsdaten (Benutzernamen, Passwort-Hashes, MFA-Konfigurationen)
  • Log-Daten und Protokolldaten (IP-Adressen, Zeitstempel, Systemereignisse)
  • Kommunikationsdaten aus Online-Meetings (Sprache, Transkripte, Zusammenfassungen via read.ai)
  • Ggf. Kundendaten des Verantwortlichen, soweit diese in zu betreuenden Systemen enthalten sind
  • Sonstige personenbezogene Daten, die sich im Rahmen des Systemzugriffs in den Datenbeständen des Verantwortlichen befinden
Besondere Kategorien (Art. 9 DSGVO) Grundsätzlich keine. Sollten im Einzelfall besondere Kategorien personenbezogener Daten betroffen sein, ist dies im Einzelvertrag gesondert zu vereinbaren.
Kategorien betroffener Personen
  • Mitarbeiter und Auftragnehmer des Verantwortlichen
  • Teilnehmer an Online-Meetings mit dem Auftragsverarbeiter
  • Kunden, Lieferanten und sonstige Geschäftspartner des Verantwortlichen, soweit deren Daten in den betreuten Systemen enthalten sind
Aufbewahrungsdauer
  • Meeting-Transkripte (kein Vertragsabschluss): max. 30 Tage nach dem Gespräch
  • Meeting-Transkripte (bestehender Vertrag): bis Projektabschluss oder Vertragsende
  • Arbeitskopien, temporäre Daten: werden nach Abschluss der jeweiligen Aufgabe unverzüglich gelöscht
  • Sonstige Verarbeitungen: bis zur Beendigung des Hauptvertrags, dann Löschung oder Rückgabe gemäß § 10 AVV
  • Gesetzliche Aufbewahrungspflichten bleiben unberührt
Verarbeitungsort Primär innerhalb der EU/EWR. Für die Subauftragsverarbeiter read.ai, Formspree und Cloudflare erfolgt eine Datenübertragung in die USA auf Basis von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Anlage II: Technische und organisatorische Maßnahmen (TOMs)

Diese Anlage beschreibt die von der Koreva eG umgesetzten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zum Schutz personenbezogener Daten.

1. Zutrittskontrolle

Maßnahmen, die verhindern, dass Unbefugte Zutritt zu Datenverarbeitungsanlagen erhalten:

  • Büroräume sind durch abgeschlossene Türen gesichert; Zutritt nur für befugte Personen
  • Schlüsselvergabe und -dokumentation für alle Zutrittsberechtigten
  • Besucherregelung: Besucher werden empfangen und begleitet
  • Server und zentrale Netzwerkkomponenten sind in gesicherten Bereichen untergebracht
  • Einsatz von Alarmanlage und Sicherheitsschlössern

2. Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

  • Kennwortrichtlinie: Mindestlänge 12 Zeichen, Komplexitätsanforderungen, regelmäßiger Wechsel
  • Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme und Remote-Zugänge (SSH, VPN, Cloud-Dienste)
  • Automatische Sperrung nach mehrfachen Fehleingaben
  • Automatisches Sperren von Bildschirmen nach Inaktivität
  • Verschlüsselte Festplatten (Full Disk Encryption) auf allen Arbeitsgeräten
  • Verwendung von Passwort-Managern (z. B. Bitwarden) für sichere Verwaltung von Zugangsdaten

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung berechtigten Personen ausschließlich auf die ihrem Berechtigungsumfang unterliegenden Daten zugreifen können (Need-to-know-Prinzip):

  • Rollenbasierte Zugriffskontrolle (RBAC) auf alle Systeme und Dienste
  • Minimale Berechtigungen (Principle of Least Privilege): Mitarbeiter erhalten nur die für ihre Aufgabe notwendigen Rechte
  • Regelmäßige Überprüfung und Anpassung von Benutzerrechten
  • Sofortige Sperrung von Zugängen ausgeschiedener Mitarbeiter oder Subauftragsverarbeiter
  • Separate Berechtigungsstufen für produktive und Test-/Entwicklungsumgebungen
  • Protokollierung (Logging) von privilegierten Zugriffen auf kritische Systeme

4. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Verschlüsselte Übertragung aller Daten via TLS 1.2 oder höher (HTTPS, SFTP, SSH)
  • Einsatz von VPN für Remote-Zugriffe auf Kundensysteme
  • Keine unverschlüsselte Übertragung personenbezogener Daten per E-Mail; bei Bedarf Einsatz von S/MIME oder PGP
  • Protokollierung von Dateiübertragungen und -downloads bei kritischen Systemen
  • Physische Datenträger werden sicher transportiert und nach Verwendung datenschutzgerecht vernichtet (DIN 66399)

5. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind:

  • Protokollierung (Audit-Logs) bei Zugriffen auf personenbezogene Daten
  • Aufzeichnung von Administratoraktivitäten (Systemzugriffe, Konfigurationsänderungen)
  • Versionsverwaltung bei Konfigurationsdateien (Git)
  • Aufbewahrung von Log-Dateien für mindestens 90 Tage

6. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

  • Abschluss von AVV mit allen Subauftragsverarbeitern
  • Dokumentation und Nachweis aller Weisungen des Verantwortlichen
  • Schulung der Mitarbeiter zu Weisungsgebundenheit und den Grenzen zulässiger Verarbeitung
  • Interne Überprüfung der Einhaltung von Weisungsgrenzen

7. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

  • Regelmäßige automatische Datensicherungen (Backups), mindestens täglich für kritische Daten
  • Offsite-Backup-Kopien an einem geographisch getrennten Standort
  • Regelmäßige Überprüfung und Test der Backup-Wiederherstellung
  • Einsatz von RAID-Systemen oder redundanter Speichertechnologie für kritische Server
  • USV (Unterbrechungsfreie Stromversorgung) für kritische Hardware
  • Virenschutz und Firewall auf allen Systemen, regelmäßige Updates
  • Patch-Management: zeitnahe Einspielung von Sicherheitsupdates

8. Trennbarkeit

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

  • Datenhaltung für verschiedene Auftraggeber in getrennten Systemen, Instanzen oder logisch abgetrennten Bereichen
  • Keine Vermischung von Daten verschiedener Auftraggeber
  • Produktions- und Testsysteme sind physisch oder logisch voneinander getrennt
  • Einsatz von Containerisierung (Docker, Kubernetes) und Virtualisierung zur Trennung von Diensten

9. Pseudonymisierung und Verschlüsselung

  • Verschlüsselung ruhender Daten (at-rest encryption) auf Arbeitsgeräten (BitLocker, FileVault, LUKS)
  • Verschlüsselung von Backups
  • Pseudonymisierung von Testdaten, soweit möglich (Anonymisierung von Echtdaten vor Verwendung in Testumgebungen)
  • Einsatz von TLS 1.2/1.3 für alle Netzwerkkommunikation
  • Sichere Schlüsselverwaltung; private Schlüssel werden nicht im Klartext gespeichert

10. Incident Management (Datenpannen-Management)

  • Dokumentiertes Verfahren zur Erkennung, Meldung und Reaktion auf Datenschutzverletzungen
  • Meldung an den Verantwortlichen innerhalb von 24 Stunden nach Bekanntwerden einer Datenschutzverletzung
  • Interne Incident-Protokollierung und Ursachenanalyse (Root Cause Analysis)
  • Nachbearbeitung: Maßnahmen zur Vermeidung gleichartiger Vorfälle werden dokumentiert und umgesetzt
  • Alle Mitarbeiter sind geschult, Sicherheitsvorfälle zu erkennen und zu melden

11. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy by Design / Privacy by Default)

  • Datensparsamkeit: Es werden nur Daten erhoben und verarbeitet, die für den jeweiligen Zweck erforderlich sind
  • Datenschutzanforderungen werden bereits bei der Konzeption neuer Verfahren berücksichtigt
  • Voreinstellungen sind so gewählt, dass sie den höchsten Datenschutzstandard bieten

12. Mitarbeitersensibilisierung und Schulungen

  • Regelmäßige Datenschutzschulungen für alle Mitarbeiter (mindestens jährlich)
  • Verpflichtung aller Mitarbeiter und Subauftragsverarbeiter auf Vertraulichkeit und Datenschutz
  • Klare interne Richtlinien zum Umgang mit personenbezogenen Daten
  • Benennung eines Datenschutzbeauftragten, soweit gesetzlich erforderlich
Unterzeichnung

Dieser AVV wird in zwei Originalen ausgefertigt; jede Partei erhält ein Original. Alternativ ist die Unterzeichnung per qualifizierter elektronischer Signatur (QES) zulässig.

[Ort, Datum]

___________________________________
Für den Verantwortlichen
(Firma, Name, Funktion)
Magdeburg, [Datum]

___________________________________
Für den Auftragsverarbeiter
Koreva eG

Dieser AVV steht in Verbindung mit den Allgemeinen Geschäftsbedingungen (AGB) der Koreva eG.

Stand: Juni 2026 · Koreva eG, Ostendorfer Straße 1, 39130 Magdeburg