Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischen
Nasiri Design – Seyed M. Mortazavi Nasiri
Heidestr. 26, 60316 Frankfurt am Main, Deutschland
(nachfolgend „Auftragsverarbeiter“ genannt) und dem jeweiligen Kunden, der Leistungen von Nasiri Design bezieht
(nachfolgend „Verantwortlicher“ genannt).
⸻
1. Gegenstand und Dauer
Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen in den Bereichen:
• Web- und Softwareentwicklung
• Hosting und Server-Betrieb
• Domain- und DNS-Verwaltung
• E-Mail-Services und Kommunikation
• Wartung, Support und technische Betreuung
Der Vertrag gilt für die Dauer der bestehenden Geschäftsbeziehung, in der personenbezogene Daten des Verantwortlichen verarbeitet werden.
⸻
2. Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der
Bereitstellung, Pflege und Wartung digitaler Produkte und Services des Verantwortlichen.
⸻
3. Art der Daten und betroffene Personen
• Kunden-, Nutzer- und Mitarbeiterdaten
• Kommunikations- und Kontaktdaten
• Log- und Zugriffsdaten
• Zahlungs- und Vertragsdaten (z. B. Rechnungsinformationen)
Betroffene Personen sind Kunden, Interessenten, Mitarbeiter und sonstige Endnutzer des Verantwortlichen.
⸻
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
• Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten,
• die Vertraulichkeit zu wahren und Mitarbeiter entsprechend zu verpflichten,
• angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten umzusetzen,
• den Verantwortlichen bei der Erfüllung datenschutzrechtlicher Pflichten zu unterstützen,
• Daten nach Vertragsende zu löschen oder auf Wunsch zurückzugeben,
• und dem Verantwortlichen Nachweise über die Einhaltung dieser Pflichten bereitzustellen.
⸻
5. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft geeignete Maßnahmen, insbesondere:
• Zugriffsschutz durch Firewalls und Authentifizierung
• Verschlüsselung (TLS/SSL) bei Übertragung sensibler Daten
• Regelmäßige Backups und Monitoring
• Protokollierung von Zugriffen
• Trennung von Daten unterschiedlicher Kunden (Mandantentrennung)
⸻
6. Subunternehmer
Der Auftragsverarbeiter darf Subunternehmer beauftragen, sofern diese vertraglich zur Einhaltung der DSGVO verpflichtet sind.
Aktuell eingesetzte Subunternehmer:
• Linode LLC – Hosting-Infrastruktur (Server, Backups)
• Cloudflare Inc. – DNS & Sicherheitsdienste
• Microsoft Corp. – Kommunikation (Teams, Bookings)
• Stripe Inc. – Zahlungsabwicklung
Der Verantwortliche erklärt sich mit dem Einsatz dieser Unterauftragsverarbeiter einverstanden.
⸻
7. Rechte und Pflichten des Verantwortlichen
Der Verantwortliche bleibt Inhaber der Daten und verantwortlich für deren Rechtmäßigkeit.
Er ist verpflichtet, dem Auftragsverarbeiter etwaige Änderungen oder Fehler in den Daten mitzuteilen.
⸻
8. Kontrolle und Nachweise
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten nach Art. 28 DSGVO nachzuweisen.
⸻
9. Löschung und Rückgabe von Daten
Nach Abschluss der vertraglichen Leistungen werden personenbezogene Daten gemäß den Weisungen des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
⸻
10. Haftung
Beide Parteien haften gemäß den gesetzlichen Bestimmungen. Der Auftragsverarbeiter haftet nur für Schäden, die auf eine Verletzung seiner datenschutzrechtlichen Pflichten zurückzuführen sind.
⸻
11. Schlussbestimmungen
Änderungen oder Ergänzungen dieses Vertrags bedürfen der Schrift- oder Textform.
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.