Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Gültig ab: 28.11.2025

1. Vertragsparteien und Verhältnis zu den Hauptverträgen

Dieser Auftragsverarbeitungsvertrag („AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO im Zusammenhang mit der Verarbeitung personenbezogener Daten durch:

Auftragsverarbeiter (Processor):
VisitMe UG (haftungsbeschränkt)
Spichernstraße 8a
48153 Münster
Deutschland
E-Mail: Kontakt@visitme.ms

Verantwortlicher (Controller):
Der jeweilige Kunde von VisitMe, der die Plattform zur Erstellung und Bereitstellung digitaler Visitenkarten nutzt (z. B. Unternehmen, Organisationen, Selbstständige, Privatpersonen).

Dieser AVV ist Bestandteil der vertraglichen Vereinbarungen zwischen den Parteien (z. B. AGB, Produkt- oder Nutzungsvertrag). Im Falle von Widersprüchen zwischen diesem AVV und den AGB haben die Regelungen dieses AVV Vorrang, soweit es um die Verarbeitung personenbezogener Daten im Sinne der DSGVO geht.

2. Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durch die VisitMe UG (haftungsbeschränkt) (nachfolgend „VisitMe“) im Rahmen der Bereitstellung der VisitMe-Plattform, der digitalen Visitenkarten, der dazugehörigen Hosting-Dienste sowie der optional bestellten physischen NFC-Visitenkarten.

2.2 Die Dauer dieses AVV entspricht der Laufzeit des jeweiligen Hauptvertrages zwischen den Parteien. Mit Beendigung des Hauptvertrages endet auch dieser AVV, vorbehaltlich der in Abschnitt 10 geregelten Nachwirkungen (insbesondere Löschung/Rückgabe von Daten).

3. Art und Zweck der Verarbeitung

VisitMe verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:

  • Betrieb und Bereitstellung der SaaS-Plattform für digitale Visitenkarten und das zugehörige Kundenportal
  • Hosting, Speicherung, Verwaltung und technische Auslieferung digitaler Visitenkarten (inkl. URL-Aufruf, QR-Code und NFC-Lösung)
  • Verwaltung von Kunden- und Nutzerkonten, Zugängen und Berechtigungen
  • Abwicklung von Abonnements, Bestellungen und Rechnungslegung unter Einsatz externer Dienstleister (z. B. Zahlungs- und Buchhaltungsdienste)
  • Sicherstellung von Verfügbarkeit, Stabilität und Sicherheit der Systeme (z. B. Logfiles, Monitoring)

Eine Verarbeitung zu eigenen Zwecken von VisitMe, die über diese Zwecke hinausgeht, findet nicht statt.

4. Kategorien betroffener Personen und Daten

Von der Verarbeitung sind insbesondere betroffen:

  • Mitarbeiterinnen und Mitarbeiter, Beauftragte oder sonstige Kontaktpersonen des Verantwortlichen, die als Inhaber digitaler Visitenkarten auftreten
  • Empfänger digitaler Visitenkarten (z. B. Personen, die einen Link, QR-Code oder NFC-Karte aufrufen)
  • Nutzer des Kundenportals und Administratoren des Kunden

Verarbeitete Datenarten können insbesondere sein:

  • Stammdaten (z. B. Name, Vorname, Position, Abteilung, Firma)
  • Kontaktdaten (z. B. geschäftliche E-Mail, Telefon, Adresse, Website, Social-Media-Profile)
  • Profildaten der digitalen Visitenkarten (z. B. Foto/Avatar, Firmenlogo, Beschreibungstexte)
  • Vertrags- und Abrechnungsdaten (z. B. gebuchte Pakete, Laufzeiten, Rechnungsinformationen)
  • IT-Nutzungsdaten und Logdaten (z. B. IP-Adresse, Zeitstempel, aufgerufene URLs, technische Ereignisprotokolle)

5. Weisungsrecht des Verantwortlichen

5.1 VisitMe verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern nicht eine abweichende Verarbeitung durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem VisitMe unterliegt, vorgeschrieben ist (Art. 28 Abs. 3 lit. a DSGVO).

5.2 Weisungen können insbesondere über die in der Plattform bereitgestellten Funktionen (z. B. Anlegen, Ändern, Löschen von Profilen) sowie in Textform (z. B. per E-Mail) erteilt werden. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

5.3 Hält VisitMe eine Weisung für rechtswidrig, informiert VisitMe den Verantwortlichen unverzüglich. VisitMe ist berechtigt, die Durchführung der Weisung auszusetzen, bis sie bestätigt oder geändert wurde.

6. Pflichten von VisitMe als Auftragsverarbeiter

VisitMe verpflichtet sich insbesondere zu folgenden Maßnahmen und Pflichten:

  • Verarbeitung der personenbezogenen Daten ausschließlich im Rahmen dieses AVV, der dokumentierten Weisungen und der geltenden Datenschutzgesetze
  • Sicherstellung, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • Umsetzung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen (TOMs) gemäß Art. 32 DSGVO
  • Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten und Meldepflichten (vgl. Abschnitt 9)
  • Dokumentation der getroffenen TOMs und Bereitstellung angemessener Nachweise auf Anfrage des Verantwortlichen
  • Unverzügliche Information des Verantwortlichen, wenn VisitMe Kenntnis von einer Verletzung des Schutzes personenbezogener Daten im Verantwortungsbereich dieses AVV erlangt

7. Technische und organisatorische Maßnahmen

VisitMe hat geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen insbesondere:

  • Verschlüsselung der Datenübertragung mittels TLS/SSL (https) für das Web-Frontend und relevante Schnittstellen
  • Zugriffsbeschränkungen nach dem Need-to-know-Prinzip, rollenbasierte Berechtigungen und Logging von administrativen Zugriffen
  • Betrieb der Serverinfrastruktur bei professionellen Hosting-Anbietern innerhalb der EU (z. B. Hetzner Online GmbH)
  • Regelmäßige Datensicherungen (Backups) und Überwachung der Systemverfügbarkeit
  • Einsatz aktueller Betriebssystem- und Softwareversionen sowie zeitnahe Installation sicherheitsrelevanter Updates
  • Technische Maßnahmen zur Absicherung gegen unbefugten Zugriff (z. B. Firewalls, Zugangskontrollen, sichere Passwortverfahren)

Die Beschreibung der TOMs kann in einer gesonderten Übersicht (z. B. Sicherheits- oder TOM-Dokument) detailliert werden. VisitMe ist berechtigt, TOMs weiterzuentwickeln, sofern das Schutzniveau nicht abgesenkt wird.

8. Einsatz von Unterauftragsverarbeitern

8.1 VisitMe ist berechtigt, Unterauftragsverarbeiter (weitere Auftragsverarbeiter) zur Erfüllung der vertraglichen Leistungen einzusetzen. Hierzu können insbesondere gehören:

  • Hosting- und Infrastrukturanbieter (z. B. Hetzner Online GmbH)
  • Zahlungsdienstleister (z. B. Mollie B.V., Kreditkartenanbieter, PayPal-Dienste)
  • Buchhaltungs- und Abrechnungsdienstleister (z. B. Lexware)
  • Anbieter von Wallet- oder Pass-Diensten (z. B. Google Wallet), sofern der Verantwortliche diese Funktionen aktiv nutzt

8.2 VisitMe schließt mit allen Unterauftragsverarbeitern Vereinbarungen, die den Anforderungen des Art. 28 DSGVO entsprechen. Soweit dabei eine Übermittlung in Drittländer stattfindet, stellt VisitMe sicher, dass ein angemessenes Datenschutzniveau gemäß Art. 44 ff. DSGVO gewährleistet ist (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln).

8.3 Der Verantwortliche kann auf Anfrage eine aktuelle Liste der wesentlichen Unterauftragsverarbeiter erhalten.

9. Unterstützung des Verantwortlichen

VisitMe unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung seiner Pflichten aus Kapiteln III und IV der DSGVO, insbesondere:

  • bei der Beantwortung von Anfragen betroffener Personen (z. B. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit)
  • bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörden und ggf. Benachrichtigung betroffener Personen
  • bei der Durchführung von Datenschutz-Folgenabschätzungen und vorherigen Konsultationen, soweit die Verarbeitung durch VisitMe betroffen ist

Etwaige hierdurch entstehende Aufwände können VisitMe und der Verantwortliche nach Maßgabe des Hauptvertrages oder einer gesonderten Vereinbarung vergüten.

10. Löschung und Rückgabe von Daten

10.1 Nach Beendigung der vertraglichen Leistungen oder auf Weisung des Verantwortlichen wird VisitMe personenbezogene Daten, die im Auftrag verarbeitet wurden, löschen oder – sofern vereinbart – an den Verantwortlichen zurückgeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

10.2 Soweit eine gesetzliche Aufbewahrungspflicht besteht, werden die betreffenden Daten gesperrt und erst nach Ablauf der Fristen gelöscht.

10.3 Auf Wunsch stellt VisitMe dem Verantwortlichen eine Bestätigung über die erfolgte Löschung bzw. Rückgabe zur Verfügung.

11. Kontrollrechte und Nachweise

11.1 Der Verantwortliche ist berechtigt, die Einhaltung der in diesem AVV getroffenen Vereinbarungen zu überprüfen. Zu diesem Zweck kann VisitMe geeignete Nachweise (z. B. Zertifizierungen, Auditberichte, Sicherheitskonzepte) zur Verfügung stellen.

12. Haftung

12.1 Die Haftung der Parteien richtet sich grundsätzlich nach den Regelungen des Hauptvertrages und den gesetzlichen Bestimmungen. Etwaige in den AGB vereinbarte Haftungsbeschränkungen gelten, soweit sie datenschutzrechtlich zulässig sind.

12.2 Jede Partei haftet der anderen für Schäden, die aus einer von ihr zu vertretenden Verletzung dieses AVV oder der Datenschutzvorschriften entstehen. Dies umfasst auch solche Schäden, die durch Aufsichtsbehörden geltend gemacht werden können, soweit dies gesetzlich zulässig ist.

13. Laufzeit und Kündigung

13.1 Dieser AVV tritt mit Abschluss des Hauptvertrages in Kraft und gilt für die Dauer der Nutzung der Leistungen von VisitMe durch den Verantwortlichen.

13.2 Eine Kündigung dieses AVV ist nur durch Kündigung des zugrunde liegenden Hauptvertrages möglich. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

14. Schlussbestimmungen

14.1 Es gilt das Recht der Bundesrepublik Deutschland unter Beachtung der unmittelbar anwendbaren Vorschriften der DSGVO.

14.2 Änderungen und Ergänzungen dieses AVV bedürfen der Textform (z. B. E-Mail). Dies gilt auch für den Verzicht auf dieses Formerfordernis.

14.3 Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.