Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: Juni 2026

zwischen dem jeweiligen Kunden („Verantwortlicher")

und der

Höcker Unternehmensberatungs GmbH
Am Kirchenhölzl 14, 82166 Gräfelfing
vertreten durch den Geschäftsführer Martin Höcker
(„Auftragsverarbeiter")

§ 1 Gegenstand und Dauer des Auftrags

(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der SaaS-Plattform Worksonar entsprechend dem zwischen den Parteien geschlossenen Hauptvertrag (siehe AGB und Preis- und Leistungsverzeichnis).

(2) Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags und endet automatisch mit dessen Beendigung. Eine Kündigung dieses AVV ist nur gemeinsam mit dem Hauptvertrag möglich.

§ 2 Art und Zweck der Verarbeitung

Art der Verarbeitung: Erhebung, Speicherung, Auslesen, Anpassung, Veränderung, Sortierung, Verknüpfung, Übermittlung, Löschung im Zusammenhang mit Hosting, Auswertung, Reporting und Versand von Einladungs- und Erinnerungs-E-Mails.

Zweck der Verarbeitung: Durchführung von Mitarbeiterbefragungen für den Verantwortlichen (insbesondere Gefährdungsbeurteilung psychischer Belastungen, Benefit-Befragungen, betriebliches Gesundheitsmanagement, eigene Custom-Module) sowie deren statistische, aggregierte und pseudonymisierte Auswertung.

§ 3 Kategorien betroffener Personen und Datenarten

Betroffene Personen: Mitarbeiter:innen, Auszubildende, Praktikant:innen, Leiharbeitnehmer:innen sowie sonstige in das Unternehmen des Verantwortlichen eingebundene Personen, die zur Teilnahme an einer Befragung eingeladen werden.

Datenkategorien:

  • Identifikations- und Kontaktdaten (Name, E-Mail) — nur bei personalisierter Einladung
  • Organisations-Zuordnung (Abteilung, Standort, Berufsphase)
  • Antwortdaten aus den Befragungen (Likert-Werte, Auswahlantworten, ggf. Freitext)
  • Profil-Daten aus optionalen Persona-Fragen (Lebensphase, Mobilität, Tätigkeitsart o.ä.)
  • Technische Metadaten (Bearbeitungs-Status, Zeitstempel)
  • Mobile-App-bezogene Daten (bei Nutzung der mobilen Anwendung): Push-Notification-Token (FCM-/APNs-ID), Plattform (iOS/Android), App-Version, Gerätesprache, optional ein vom Nutzer vergebener Gerätename, Zeitstempel der letzten Nutzung. Diese Daten dienen ausschließlich der Zustellung von Befragungs-Benachrichtigungen und werden nicht für Auswertungen herangezogen.

Antworten werden grundsätzlich vom Personenbezug entkoppelt gespeichert. Die Auswertungen erfolgen ausschließlich aggregiert mit einem Anonymitätsschutz von n ≥ 5 pro Segment.

§ 4 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Weisungen ergeben sich grundsätzlich aus diesem Vertrag und dem Hauptvertrag; ergänzende Weisungen sind in Textform zu erteilen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter und alle ihm unterstellten Personen, die Zugang zu personenbezogenen Daten haben, sind auf die Vertraulichkeit verpflichtet und in den Anforderungen des Datenschutzes unterwiesen.

(2) Der Auftragsverarbeiter implementiert und unterhält die in Anhang 1 (TOM) beschriebenen technischen und organisatorischen Maßnahmen.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO), bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) sowie bei der Erfüllung der Meldepflichten gemäß Art. 33 und 34 DSGVO.

(4) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, jede Verletzung des Schutzes personenbezogener Daten („Data Breach"). Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen.

§ 6 Datenschutzbeauftragter

Der Datenschutzbeauftragte des Auftragsverarbeiters ist:

Thomas Höcker
c/o Höcker Unternehmensberatungs GmbH
Am Kirchenhölzl 14, 82166 Gräfelfing
E-Mail: info@hoecker-unternehmensberatung.de

§ 7 Unterauftragsverarbeiter

(1) Der Verantwortliche willigt allgemein in den Einsatz von Unterauftragsverarbeitern ein (Art. 28 Abs. 2 DSGVO).

(2) Aktuell eingesetzte Unterauftragsverarbeiter:

  • Hosting-/Infrastruktur-Anbieter mit Serverstandort Deutschland (z.B. Hetzner Online GmbH, Gunzenhausen; IONOS SE, Montabaur; netcup GmbH, Karlsruhe — je nach gewählter Konfiguration)
  • E-Mail-Versand-Provider in der EU (z.B. SMTP-Relay des Hosting-Anbieters)

(3) Der Auftragsverarbeiter informiert den Verantwortlichen mit einer Vorlauffrist von mindestens 30 Tagen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Unterauftragsverarbeiter. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen widersprechen.

(4) Vor Beauftragung schließt der Auftragsverarbeiter mit jedem Unterauftragsverarbeiter einen Vertrag, der die Pflichten dieses AVV im Wesentlichen widerspiegelt.

§ 8 Drittlandtransfer

Eine Verarbeitung personenbezogener Daten in einem Drittland (außerhalb EU/EWR) findet im Regelfall nicht statt. Sollte eine Verarbeitung in einem Drittland erforderlich werden, sichert der Auftragsverarbeiter ein angemessenes Schutzniveau gemäß Art. 44 ff. DSGVO zu (Angemessenheitsbeschluss, Standardvertragsklauseln nebst Transfer-Impact-Assessment, ggf. zusätzliche Maßnahmen).

§ 9 Kontroll- und Auskunftsrechte des Verantwortlichen

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachzuweisen.

(2) Der Verantwortliche ist berechtigt, sich von der Einhaltung der Pflichten zu überzeugen — insbesondere durch Einsicht in zertifizierte Audit-Berichte, durch Selbstauskunft des Auftragsverarbeiters oder, sofern erforderlich, durch Vor-Ort-Kontrollen mit angemessener Vorankündigung. Wiederholte oder unangemessene Kontrollen werden in Rechnung gestellt.

§ 10 Vergütung

Die Vergütung des Auftragsverarbeiters ist abschließend durch die Vergütung gemäß Hauptvertrag abgegolten. Über den Rahmen dieses AVV hinausgehende Tätigkeiten (z.B. außergewöhnliche Audit-Unterstützung, individuelle Standardvertragsklauseln) werden nach Aufwand zu Tagessatz 1 200 € berechnet.

§ 11 Beendigung, Datenrückgabe und Löschung

(1) Nach Beendigung des Hauptvertrags stellt der Auftragsverarbeiter dem Verantwortlichen die personenbezogenen Daten für die Dauer von 30 Tagen in einem gängigen Format zum Export bereit.

(2) Anschließend werden alle personenbezogenen Daten innerhalb von weiteren 60 Tagen vollständig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(3) Auf Nachfrage des Verantwortlichen wird die Löschung schriftlich bestätigt.

§ 12 Haftung

Für die Haftung gelten die Regelungen des Hauptvertrags entsprechend, soweit gesetzlich zulässig.

§ 13 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Es gilt das Recht der Bundesrepublik Deutschland.

(3) Im Konfliktfall mit Regelungen des Hauptvertrags gehen die Regelungen dieses AVV vor.

Anhang 1 — Technische und organisatorische Maßnahmen (TOM)

gem. Art. 32 DSGVO

1. Pseudonymisierung und Verschlüsselung

  • Antworten werden pseudonymisiert vom Personenbezug entkoppelt gespeichert.
  • Auswertungen erfolgen aggregiert mit Anonymitätsschutz n ≥ 5 pro Segment.
  • Transportverschlüsselung TLS 1.2/1.3 für alle Endpunkte (Web, API, SMTP).
  • Verschlüsselung von Backups vor Auslagerung.
  • Hashing von Passwörtern mit modernem Verfahren (bcrypt, Cost-Faktor ≥ 12).

2. Vertraulichkeit

Zutrittskontrolle: Hosting in deutschen Rechenzentren mit ISO/IEC 27001-Zertifizierung, Zugang ausschließlich für autorisiertes Personal des Hosting-Anbieters.

Zugangskontrolle: Multi-Faktor-Authentifizierung für administrative Zugänge, eindeutige Benutzerkonten, Sperrung nach Fehlversuchen, Session-Timeout.

Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (Super-Admin, Tenant-Admin, Mitarbeiter:in/Teilnehmer:in), Mandantenisolation („tenant_id"-Pflicht in allen Datenbank-Abfragen), Audit-Logging aller administrativen Aktionen.

Trennungskontrolle: Strikte logische Trennung der Mandanten in der Datenbank über den Mandanten-Schlüssel; getrennte Daten- und Test-Umgebungen.

Verpflichtung zur Vertraulichkeit: Alle Mitarbeiter:innen des Auftragsverarbeiters sind auf das Datengeheimnis verpflichtet und werden regelmäßig geschult.

3. Integrität

  • Übertragungskontrolle: TLS-Verschlüsselung aller Datenübertragungen.
  • Eingabekontrolle: Audit-Log mit Zeitstempel, Akteur und Aktion (z. B. Anlage Kampagne, Datenexport, Rollenänderung).
  • Validierung aller Nutzereingaben gegen Schemata, Schutz gegen SQL-Injection und XSS.

4. Verfügbarkeit und Belastbarkeit

  • Tägliche, verschlüsselte Backups; Recovery-Tests mindestens quartalsweise.
  • Monitoring (Verfügbarkeit, Last, Fehlerquoten) mit Alarmierung bei Schwellwertverletzung.
  • Patch-Management mit zeitnahem Einspielen sicherheitsrelevanter Updates.
  • Notfall- und Wiederanlaufplan, Recovery Point Objective (RPO) ≤ 24 h, Recovery Time Objective (RTO) ≤ 8 h.

5. Verfahren zur regelmäßigen Überprüfung

  • Mindestens jährliche Überprüfung der TOM auf Aktualität und Wirksamkeit.
  • Penetrationstests / Vulnerability-Scans mindestens jährlich.
  • Dokumentation aller relevanten Sicherheits-Vorfälle und Lessons Learned.

6. Auftragskontrolle

  • Schriftliche Beauftragung und Dokumentation aller Verarbeitungstätigkeiten.
  • Auftragsverarbeitungsverträge mit allen Unterauftragsverarbeitern.
  • Regelmäßige Kontrolle und Bewertung der Unterauftragsverarbeiter.

Höcker Unternehmensberatungs GmbH · Am Kirchenhölzl 14 · 82166 Gräfelfing · Datenschutzbeauftragter: Thomas Höcker