Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Stand: 2026-06-02

Präambel

Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien im Rahmen der Nutzung der SaaS-Anwendung Laboros (LIMS).

  • Auftragsverarbeiter (Anbieter): Armin Franz Digitalagentur, Haagweg 6, 92355 Velburg, USt-ID DE418054926.
  • Verantwortlicher (Kunde): das nutzende Labor / Unternehmen (in der Hauptvereinbarung benannt).

§ 1Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten, die der Kunde im Rahmen der Nutzung von Laboros einstellt (Stammdaten, Messwerte, Prüfpläne, Nutzer-/Prüferkonten, Audit-Trail). Die Dauer entspricht der Laufzeit des Hauptvertrags.

§ 2Art, Umfang, Zweck

  • Art der Daten: Kontakt-/Stammdaten von Kunden des Labors, Nutzer-/Prüferdaten (Name, Kennung), qualitäts- und prozessbezogene Aufzeichnungen.
  • Kategorien betroffener Personen: Mitarbeitende/Prüfer des Kunden, Ansprechpartner von dessen Kunden.
  • Zweck: Bereitstellung der LIMS-Funktionalität ausschließlich nach Weisung des Verantwortlichen.

§ 3Weisungsrecht

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen. Weisungen erfolgen i. d. R. über die Konfiguration/Nutzung der Anwendung; abweichende Einzelweisungen in Textform.

§ 4Technische und organisatorische Maßnahmen (TOM)

  • EU-Hosting (Deutschland/Frankfurt), verschlüsselte Übertragung (TLS).
  • Zugriffskontrolle über Identitäts-/Zugriffsverwaltung (rollenbasiert), Mandantentrennung (Multi-Tenant).
  • Append-only Audit-Trail (GxP / 21 CFR Part 11), revisionssichere Aufzeichnungen.
  • Verschlüsselte, ortsfremde Backups (täglich); Wiederherstellungsverfahren dokumentiert.
  • TOM werden in Anlage 1 detailliert (vor Live-Gang ausfüllen).

§ 5Unterauftragsverarbeiter

Eingesetzt werden: Hosting-/Infrastrukturanbieter (EU). Eine vollständige, aktuelle Liste der Unterauftragsverarbeiter wird als Anlage 2 geführt; Änderungen werden dem Verantwortlichen mit Widerspruchsmöglichkeit angezeigt.

§ 6Mitwirkung / Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Auskunfts-, Berichtigungs-, Lösch- und Auskunftsersuchen sowie bei Meldepflichten (Art. 33/34 DSGVO) im Rahmen der technischen Möglichkeiten (u. a. über die Export-Funktionen).

§ 7Löschung / Rückgabe

Nach Vertragsende werden die Daten nach Wahl des Verantwortlichen zurückgegeben (Export) oder gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 8Nachweise / Audits

Der Auftragsverarbeiter stellt die zur Einhaltung erforderlichen Informationen bereit und ermöglicht angemessene Überprüfungen.

Anlagen (vor Live-Gang ausfüllen)

  • Anlage 1: TOM im Detail.
  • Anlage 2: Liste der Unterauftragsverarbeiter (Name, Leistung, Standort).

Hinweis (intern): Anbieterseitiger Entwurf, keine Rechtsberatung. Vor Verwendung anwaltlich/DSB prüfen und Anlagen befüllen.

ANLAGE 1

Technische und organisatorische Maßnahmen (TOM)

MaßnahmenkategorieUmsetzung
Vertraulichkeit / ZutrittskontrolleEU-Hosting in einem zertifizierten Rechenzentrum (Deutschland/Frankfurt); kein physischer Zugang für Unbefugte.
ZugangskontrolleRollenbasierte Identitäts- und Zugriffsverwaltung; individuelle Benutzerkonten; Passwort-Richtlinien; kein Shared-Login.
ZugriffskontrolleMandantentrennung (Multi-Tenant), Berechtigungskonzept nach Need-to-know.
ÜbertragungskontrolleVerschlüsselte Datenübertragung (TLS).
EingabekontrolleAppend-only Audit-Trail (GxP / 21 CFR Part 11), unveränderbare Protokollierung aller Datensatzänderungen mit Zeitstempel und Benutzer.
VerfügbarkeitskontrolleVerschlüsselte, ortsfremde Backups (täglich); dokumentiertes Wiederherstellungsverfahren.
TrennungskontrolleLogische Trennung der Mandantendaten.
Belastbarkeit / WiederherstellbarkeitRegelmäßige Prüfung der Wiederherstellbarkeit.
  • Vertraulichkeit / Zutrittskontrolle

    EU-Hosting in einem zertifizierten Rechenzentrum (Deutschland/Frankfurt); kein physischer Zugang für Unbefugte.

  • Zugangskontrolle

    Rollenbasierte Identitäts- und Zugriffsverwaltung; individuelle Benutzerkonten; Passwort-Richtlinien; kein Shared-Login.

  • Zugriffskontrolle

    Mandantentrennung (Multi-Tenant), Berechtigungskonzept nach Need-to-know.

  • Übertragungskontrolle

    Verschlüsselte Datenübertragung (TLS).

  • Eingabekontrolle

    Append-only Audit-Trail (GxP / 21 CFR Part 11), unveränderbare Protokollierung aller Datensatzänderungen mit Zeitstempel und Benutzer.

  • Verfügbarkeitskontrolle

    Verschlüsselte, ortsfremde Backups (täglich); dokumentiertes Wiederherstellungsverfahren.

  • Trennungskontrolle

    Logische Trennung der Mandantendaten.

  • Belastbarkeit / Wiederherstellbarkeit

    Regelmäßige Prüfung der Wiederherstellbarkeit.

Stand: 2026-06-02Detail-TOM gemäß internem Sicherheitskonzept.
ANLAGE 2

Liste der Unterauftragsverarbeiter

Diese Liste wird laufend aktualisiert. Stand: 2026-06-02

Der Auftragsverarbeiter setzt die nachfolgenden Unterauftragsverarbeiter ein. Änderungen werden dem Verantwortlichen rechtzeitig mit Widerspruchsmöglichkeit angezeigt.

DienstleisterLeistungStandort / RegionGrundlage
[Hosting-/Infrastrukturanbieter – vom Betreiber einzutragen]Hosting & Betrieb der AnwendungsinfrastrukturEuropäische Union (Deutschland)AVV gemäß Art. 28 DSGVO
  • [Hosting-/Infrastrukturanbieter – vom Betreiber einzutragen]
    Leistung
    Hosting & Betrieb der Anwendungsinfrastruktur
    Standort / Region
    Europäische Union (Deutschland)
    Grundlage
    AVV gemäß Art. 28 DSGVO
AVV-Version 1.0 – Stand 2026-06-02Als PDF herunterladen

Dieser Vertrag ist ein anbieterseitiger Entwurf und ersetzt keine Rechtsberatung.