Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Stand: 30.05.2026

zwischen dem Kunden (nachfolgend „Auftraggeber") und

IT-Service Przemyslaw Milner
Bahnhofstraße 22
52134 Herzogenrath
E-Mail: kontakt@ent1pro.de
(nachfolgend „Auftragnehmer")

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Software „Ent1pro". Die Verarbeitung erfolgt für die Dauer des zwischen den Parteien bestehenden Hauptvertrags (SaaS-Nutzungsvertrag).

§ 2 Art und Zweck der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Bereitstellung einer Cloud-basierten CRM-Software zur Verwaltung von Kunden-, Auftrags-, Rechnungs- und Angebotsdaten. Die Verarbeitung umfasst:

• Speicherung und Verwaltung von Kundenstammdaten
• Erstellung und Verwaltung von Aufträgen, Angeboten und Rechnungen
• E-Mail-Kommunikation über die integrierte E-Mail-Funktion
• Verwaltung von Mitarbeiter- und Benutzerdaten
• Erstellung von Berichten und Auswertungen

§ 3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind folgende Arten personenbezogener Daten:

• Personalien (Name, Vorname, Anrede)
• Kontaktdaten (Adresse, E-Mail, Telefon, Mobil)
• Vertragsdaten (Aufträge, Angebote, Rechnungen)
• Kommunikationsdaten (E-Mail-Inhalte)
• Abrechnungsdaten (Zahlungsinformationen, Bankverbindungen)

§ 4 Kategorien betroffener Personen

• Kunden und Interessenten des Auftraggebers
• Mitarbeiter des Auftraggebers
• Ansprechpartner bei Geschäftspartnern des Auftraggebers

§ 5 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

1. personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers zu verarbeiten, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet;
2. sicherzustellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
3. alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen;
4. den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen;
5. den Auftraggeber unverzüglich zu informieren, falls eine Weisung des Auftraggebers nach Auffassung des Auftragnehmers gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

§ 6 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft insbesondere folgende Maßnahmen:

• Zutrittskontrolle: Serverstandort bei zertifiziertem Hosting-Anbieter in Deutschland
• Zugangskontrolle: Passwortschutz, Zwei-Faktor-Authentifizierung, automatische Sperrung
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem, Mandantentrennung
• Weitergabekontrolle: SSL/TLS-Verschlüsselung aller Datenübertragungen
• Eingabekontrolle: Audit-Logging aller relevanten Aktionen
• Verfügbarkeitskontrolle: Regelmäßige Backups, redundante Systeme
• Trennungskontrolle: Logische Mandantentrennung auf Datenbankebene

§ 7 Unterauftragnehmer

Der Auftragnehmer darf Unterauftragnehmer nur nach vorheriger schriftlicher oder dokumentierter Zustimmung des Auftraggebers einsetzen. Derzeit werden folgende Unterauftragnehmer eingesetzt:

Unternehmen	Leistung	Standort
ALL-INKL.COM (Neue Medien Münnich)	Webhosting, Serverbereitstellung	Deutschland

Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern informieren. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.

§ 8 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers überzeugen kann.

Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

§ 9 Mitteilungspflichten bei Datenschutzverletzungen

Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.

§ 10 Löschung und Rückgabe von Daten

Nach Beendigung der Auftragsverarbeitung hat der Auftragnehmer sämtliche in seinem Besitz befindlichen personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung besteht.

Die Löschung ist zu dokumentieren und dem Auftraggeber auf Verlangen nachzuweisen. Bestehende Datensicherungen werden im Rahmen des üblichen Backup-Zyklus gelöscht.

§ 11 Schlussbestimmungen

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, Aachen.