Auftragsverarbeitungsvertrag für Anbieter
Family Office Match GmbH, Stand 22. Februar 2026, Version 1.0
Der Anbieter (Ziffer 1.2 der AVB, nachfolgend „Verantwortlicher“) beauftragt den Plattformbetreiber (Ziffer 1.1 der AVB, nachfolgend „Auftragsverarbeiter“) mit der Verarbeitung personenbezogener Daten im Rahmen seiner Präsentation auf der Plattform (Ziffer 8.2 der AVB). Dieser Vertrag regelt die Rechte und Pflichten beider Parteien gemäß Art. 28 DSGVO.
Um die Lesbarkeit dieses Vertrags zu vereinfachen, verzichten wir auf die zusätzliche Verwendung der weiblichen und/oder der diversen Form. Die Verwendung der männlichen Form ist geschlechtsneutral zu verstehen.
1. Gegenstand und Dauer des Vertrags
- Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Präsentation des Verantwortlichen auf der Plattform.
- Dieser Vertrag gilt für die Dauer des Hauptvertrages zwischen den Parteien und endet automatisch mit der Beendigung des zuvor genannten Hauptvertragsverhältnisses. Die Pflichten zur Löschung und Rückgabe von Daten gemäß Ziffer 9. bestehen fort.
2. Art und Zweck der Verarbeitung
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen durch:
- Bereitstellung der technischen Infrastruktur der Plattform,
- Speicherung und Verarbeitung eines Profils des Unternehmens des Verantwortlichen sowie von Profilen von Mitarbeitern und Vertretern des Verantwortlichen (Ansprechpartner),
- technische Wartung und Support.
- Die Verarbeitung dient ausschließlich der Präsentation des Verantwortlichen auf der Plattform. Der Auftragsverarbeiter verarbeitet die Daten nicht für eigene Zwecke.
3. Art der personenbezogenen Daten und Kategorien betroffener Personen
- Es werden folgende Kategorien personenbezogener Daten verarbeitet:
- Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer),
- Berufs- und Unternehmensdaten.
- Betroffene Personen sind:
- Mitarbeiter und Vertreter des Verantwortlichen.
4. Pflichten des Auftragsverarbeiters
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
- Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
- Der Auftragsverarbeiter implementiert und unterhält geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen sind in Anlage 1 spezifiziert.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung dabei, seinen Pflichten zur Beantwortung von Anfragen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen dabei, die Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen zu gewährleisten.
- Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um den Nachweis der Einhaltung der in dieser Ziffer genannten Pflichten zu erbringen, und ermöglicht Überprüfungen durch den Verantwortlichen oder einen von diesem benannten Prüfer (Ziffer 10.).
5. Rechte und Pflichten des Verantwortlichen
- Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Diese Weisungen sind schriftlich oder in Textform zu erteilen.
- Der Verantwortliche dokumentiert alle Weisungen an den Auftragsverarbeiter und bewahrt diese Dokumentation für die Dauer des Vertragsverhältnisses auf.
- Der Verantwortliche arbeitet mit dem Auftragsverarbeiter wohlwollend zusammen, um die Einhaltung der DSGVO zu gewährleisten.
6. Technische und organisatorische Maßnahmen (TOMs)
- Der Auftragsverarbeiter implementiert die in Anlage 1 spezifizierten technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
- Der Auftragsverarbeiter überprüft und aktualisiert die TOMs regelmäßig, insbesondere bei Änderungen der Verarbeitungstätigkeiten oder der Risikolage.
- Der Auftragsverarbeiter dokumentiert die implementierten TOMs und stellt diese dem Verantwortlichen auf Anfrage zur Verfügung.
7. Unterauftragsverarbeitungsverhältnisse
- Bis auf die in Anlage 2 aufgeführten und bereits abgestimmten Unterauftragsverarbeiter, darf der Auftragsverarbeiter nur im Falle einer vorherigen Einwilligung des Verantwortlichen in Textform Unterauftragsverarbeiter einschalten.
- Der Verantwortliche erteilt hiermit seine allgemeine Einwilligung zu zukünftigen Unterauftragsverarbeitern. Die Einwilligung steht unter dem Vorbehalt, dass der Auftragsverarbeiter den Verantwortlichen vor der Beauftragung eines Unterauftragsverarbeiters über die geplante Beauftragung mindestens 14 Tage vor dem geplanten Einsatz informiert und dem Verantwortlichen die Möglichkeit eines Widerspruchs gegen diese Beauftragung einräumt.
- Der Verantwortliche kann der Beauftragung eines Unterauftragsverarbeiters innerhalb von 7 Tagen nach Erhalt der Information in Textform widersprechen. Für den Fall steht es im Ermessen des Auftragsverarbeiters die vertragliche Zusammenarbeit nach dem Hauptvertrag zu beenden, was ebenfalls die Beendigung des Auftragsverarbeitungsverhältnisses zur Folge hätte.
- Der Auftragsverarbeiter schließt mit dem Unterauftragsverarbeiter einen Vertrag ab, der dieselben Datenschutzpflichten wie in diesem Vertrag vorsieht.
- Der Auftragsverarbeiter bleibt voll verantwortlich für die Erfüllung der Pflichten des Unterauftragsverarbeiters.
8. Meldung von Datenschutzverstößen
- Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, einen von ihm festgestellten oder vermuteten Datenschutzverstoß.
- Die Meldung enthält mindestens folgende Informationen:
- Beschreibung der Art des Datenschutzverstoßes,
- Kategorien und ungefähre Anzahl betroffener Personen,
- Kategorien und ungefähre Anzahl betroffener Datensätze,
- Name und Kontaktdaten des Datenschutzbeauftragten,
- wahrscheinliche Folgen des Datenschutzverstoßes,
- geplante oder ergriffene Maßnahmen zur Behebung des Datenschutzverstoßes.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen in angemessener Weise und im Rahmen seiner üblichen geschäftlichen Tätigkeit.
9. Löschung und Rückgabe von Daten
- Nach Beendigung dieses Vertrags oder des Hauptvertrags hat der Auftragsverarbeiter alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben.
- Der Auftragsverarbeiter bestätigt dem Verantwortlichen in Textform die vollständige Löschung oder Rückgabe der Daten.
- Die Löschungspflicht besteht nicht, soweit das Unionsrecht oder das Recht der Mitgliedstaaten eine Speicherung der personenbezogenen Daten vorschreibt.
10. Kontroll- und Prüfungsrechte
- Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags und der DSGVO durch den Auftragsverarbeiter zu kontrollieren.
- Der Verantwortliche kann die Einhaltung durch eigene Mitarbeiter, durch einen unabhängigen Prüfer oder durch einen gemeinsamen Prüfer überprüfen lassen.
- Die Prüfungen werden nach angemessener Vorankündigung in Textform (mindestens 2 Wochen) während der Geschäftszeiten des Auftragsverarbeiters durchgeführt.
- Die Kosten der Prüfungen trägt der Verantwortliche, sofern die Prüfung keine Verstöße gegen diesen Vertrag oder die DSGVO ergibt. Bei Verstößen trägt der Auftragsverarbeiter die Kosten.
11. Haftung
Der Auftragsverarbeiter haftet für die Erfüllung seiner vertraglichen und gesetzlichen Pflichten. Bei Verstößen gegen diesen Vertrag haftet der Auftragsverarbeiter für den daraus entstehenden Schaden.
12. Schlussbestimmungen
- Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für den Verzicht auf das Textformerfordernis.
- Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
- Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist Potsdam.
- Die Anlagen sind wesentlicher Bestandteil dieses Vertrags.
Anlage 2: Liste der Unterauftragsverarbeiter
| Nr. | Unternehmen | Sitz | Leistung | Umfang der Datenverarbeitung | Ort der Datenverarbeitung | Drittlandübermittlung |
|---|---|---|---|---|---|---|
| 1 | ALL-INKL.COM – Neue Medien Münnich | Friedersdorf, Deutschland | Hosting der Plattform, Serverbereitstellung, Datenbankbetrieb | Speicherung und Verarbeitung von Datenbankeinträgen | Deutschland | Nein |
| 2 | B2K Media | Berlin, Deutschland | Technische Betreuung / IT-Dienstleistungen mit Backend-Zugriff | Zugang auf personenbezogene Daten im CMS | Deutschland | Nein |
| 3 | DRACOON GmbH | Regensburg, Deutschland | Cloud-basierte Dateiablage und Datensicherung | Speicherung von Dokumenten und Vertragsunterlagen | Deutschland | Nein |
| 4 | Google Ireland Limited / Google LLC | Irland / USA | Online-Werbe- und Analyse-Dienst (Google Ads) | Verarbeitung von Tracking- und Marketingdaten | EU sowie USA | Ja (USA) |
| 5 | Heyflow GmbH | Berlin, Deutschland | Formular- und Upload-Tool | Erfassung von Profil-, Kontakt- und Vertragsdaten | Deutschland | Nein |
| 6 | HubSpot, Inc. | Cambridge, MA, USA | CRM-System | Verwaltung von Kunden-, Interessenten- und Vertragsdaten | EU-Rechenzentren sowie USA | Ja (USA) |
| 7 | PIXEO STUDIOS GmbH | Berlin, Deutschland | CMS Administration | Zugang auf personenbezogene Daten im CMS | Deutschland | Nein |
| 8 | Soltau eConsult | Berlin, Deutschland | Beratung und technische Betreuung des CRM-Systems HubSpot | Zugang auf personenbezogene Daten im CRM | Deutschland / EU | Keine eigenständige Drittlandübermittlung |