AVV – Auftragsverarbeitungsvertrag (Art. 28 DSGVO) für öffentliche Auftraggeber (EVB-IT-kompatibel)
zwischen
(1) Öffentlicher Auftraggeber (Verantwortlicher)
und
(2) KrambergIT
– nachfolgend „Auftragsverarbeiter“ –
Stand 2025
Vorrang der EVB-IT-Vertragsunterlagen
(1) Dieser AVV ist integraler Bestandteil der EVB-IT-Verträge (Dienstleistung, Überlassung A/B, Pflege, Erstellung), sofern der Auftraggeber diese Vertragsform nutzt.
(2) Bei Widersprüchen gelten folgende Reihenfolge:
EVB-IT Vertragsbedingungen und Anlagen
besondere/besondere Nebenbestimmungen der Vergabestelle
dieser AVV
AGB des Auftragsverarbeiters
(3) Diese Vereinbarung ersetzt keine EVB-IT-Datenschutzklauseln, sondern ergänzt sie.
1. Gegenstand und Dauer der Auftragsverarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Weisung des öffentlichen Auftraggebers gemäß Art. 28 DSGVO.
(2) Art, Umfang, Zweck und Kategorien der Daten ergeben sich aus dem EVB-IT-Hauptvertrag bzw. der Leistungsbeschreibung.
(3) Die Dauer des AVV entspricht der Vertragslaufzeit; eine automatische Verlängerung findet nicht statt (Vergaberecht).
2. Art, Umfang und Zweck der Verarbeitung
(1) Zwecke:
Betrieb, Pflege und Wartung von SaaS-/Cloud-/On-Premises-Systemen
KI-basierte Funktionen (z. B. Textanalyse, Automatisierung, Datenverarbeitung)
IT-Dienstleistungen im Rahmen von EVB-IT Dienstleistung
Big-Data-Analysen, Dashboards, Reports
Hosting in EU-Rechenzentren
Support, Ticketing, Incident-Management
(2) Kategorien betroffener Personen:
Bürgerinnen und Bürger
Beschäftigte der Verwaltung
Lehrkräfte, Schüler*innen (bei KI-Kinderakademie)
Kursteilnehmer
Dritte, deren Daten der Auftraggeber verarbeitet
(3) Datenkategorien:
Identifikationsdaten
Kontakt- & Kommunikationsdaten
Nutzungs- und Protokolldaten
IT-Systemdaten (Logfiles)
optionale Inhaltsdaten (Dokumente, Texte, Anfragen)
(4) Keine Verarbeitung besonderer Kategorien personenbezogener Daten, außer explizit vereinbart.
3. Weisungsrecht des öffentlichen Auftraggebers
(1) Der Auftraggeber hat ein uneingeschränktes Weisungsrecht.
(2) Weisungen erfolgen schriftlich oder elektronisch (Ticket-System möglich).
(3) Der Auftragsverarbeiter informiert unverzüglich, wenn eine Weisung rechtswidrig erscheint.
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich zu:
DSGVO- & BDSG-konformer Verarbeitung
Umsetzung des BSI-Grundschutzes (mindestens Basis-Absicherung)
Verarbeitung nur innerhalb der EU/EWR
Einrichtung eines Rollen- & Berechtigungskonzepts
Verschlüsselung aller Übertragungswege
regelmäßigen Schulungen der Mitarbeitenden
Verarbeitung ausschließlich nach dokumentierter Weisung
sofortiger Meldung von Datenschutzverletzungen (Art. 33 DSGVO)
5. Vertraulichkeit & Verpflichtung der Mitarbeitenden
(1) Mitarbeitende des Auftragsverarbeiters sind gemäß Art. 28 Abs. 3 lit. b DSGVO auf Vertraulichkeit verpflichtet.
(2) Sicherheits- und Datenschutzschulungen werden mindestens jährlich durchgeführt.
6. TOMs – Technische und organisatorische Maßnahmen
gemäß Art. 32 DSGVO, BSI-Grundschutz-orientiert
6.1 Organisatorische Maßnahmen
Datenschutz-Managementsystem
dokumentiertes Berechtigungskonzept
Vier-Augen-Prinzip in sensiblen Prozessen
Schulungen & Awareness-Maßnahmen
Notfallhandbuch & Incident-Eskalationswege
6.2 Zugang & Zutrittskontrolle
Zutritt nur mit Authentifizierung (Chipkarten, biometrisch)
Videoüberwachung in Rechenzentren
Trennung von Test- & Produktivumgebungen
6.3 Zugriffskontrolle
Multi-Faktor-Authentifizierung (MFA)
Rollenbasierte Berechtigungen (RBAC)
Zero-Trust-Prinzip (soweit technisch möglich)
Passwort-Richtlinien nach BSI TR-02102
6.4 Weitergabekontrolle
TLS 1.2+ Verschlüsselung
VPN bei Behördenzugängen
standardisierte Protokollierung aller Zugriffe
6.5 Eingabekontrolle
revisionssichere Logging-Systeme
lückenlose Protokollierung sicherheitsrelevanter Ereignisse
6.6 Verfügbarkeitskontrollen
geo-redundante Backups
RAID-Systeme / hochverfügbare Cloud
Notfallwiederherstellungskonzept (Disaster Recovery Plan)
6.7 Trennungsgebot
Mandantenfähige Datenstrukturen
strikte Trennung von Kundendaten
Pseudonymisierung, sofern möglich
7. Subunternehmer (Unterauftragsverhältnisse nach EVB-IT)
(1) Unterauftragnehmer dürfen nur eingesetzt werden, wenn:
sie DSGVO-konform sind
der Auftraggeber vorher zugestimmt hat
sie schriftlich nach Art. 28 DSGVO verpflichtet wurden
(2) Kategorien eingesetzter Subunternehmer:
Kategorie Beispiel Standort Zertifizierung
Rechenzentrum Hosting/Cloud EU ISO 27001
Monitoring Systemüberwachung EU ISO 27001
KI-Modellbetrieb Modellhosting EU DSGVO-konform
Support-System Ticketsystem EU ISO 27001
(3) Änderungen werden mindestens 30 Tage vorher angezeigt.
(4) Der Auftraggeber kann einzelne Subdienstleister ablehnen.
8. Unterstützungspflichten gemäß Art. 28 DSGVO
Der Auftragsverarbeiter unterstützt den Auftraggeber bei:
Betroffenenanträgen (Art. 12–23 DSGVO)
Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
Sicherheitsmeldungen
Audits & Prüfungen
Erstellung von Verarbeitungsverzeichnissen (falls notwendig)
9. Lösch- und Rückgabekonzept (EVB-IT-geeignet)
(1) Nach Ende des Vertrags:
vollständige Rückgabe aller Daten
strukturierte Datenexporte (z. B. CSV, JSON, SQLDump)
Datenlöschung nach schriftlicher Weisung
(2) Standard-Löschfristen:
Datentyp Löschfrist
Plattformdaten max. 30 Tage nach Vertragsende
Backups max. 90 Tage
Logdaten 7–180 Tage (je nach Zweck)
(3) Ein Löschprotokoll wird dem Auftraggeber ausgehändigt.
(4) Die Prüfung durch den Auftraggeber ist zulässig.
10. Meldepflichten bei Datenschutzverletzungen
(Art. 33 und 34 DSGVO)
(1) Der Auftragsverarbeiter meldet dem Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden, jede Verletzung des Schutzes personenbezogener Daten.
(2) Die Meldung enthält mindestens:
Art der Verletzung
betroffene Datenkategorien
geschätzte Anzahl betroffener Personen
Auswirkungen
ergriffene und geplante Maßnahmen
11. Auditrechte & behördliche Prüfungen
(EVB-IT kompatibel)
(1) Der Auftraggeber sowie befugte Dritte (z. B. Landes-/Bundesprüfbehörden, Rechnungshof, Datenschutzbehörden) haben das Recht:
Audits durchzuführen
Einsicht in relevante Unterlagen zu nehmen
TOMs zu prüfen
Zertifikate & Prüfberichte anzufordern
(2) Prüfungen erfolgen mit angemessener Vorankündigung.
(3) Der Auftragsverarbeiter unterstützt die Prüfung vollumfänglich.
12. Haftung
Es gelten die Haftungsregelungen des EVB-IT-Hauptvertrags.
Die Haftung für Datenschutzverstöße richtet sich nach Art. 82 DSGVO.
13. Schlussbestimmungen
Änderungen bedürfen der Schriftform
Der Vertrag endet automatisch mit dem Hauptvertrag
Unwirksame Bestimmungen werden durch wirksame ersetzt
Es gilt deutsches Datenschutzrecht
