MATPROOF AUF IHREM STACK ERLEBEN — BUCHEN SIE EINE 30-MINUTEN-DEMO

Auftragsverarbeitungsvertrag (AVV)

Standardvertragsklauseln gemäß Art. 28 DSGVO

Zuletzt aktualisiert: 20. Mai 2026

Dieser Auftragsverarbeitungsvertrag ("AVV") ist Teil der Nutzungsbedingungen zwischen Ihnen ("Verantwortlicher") und VantarGroup LLC ("Auftragsverarbeiter") und regelt die Verarbeitung personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO).

1. Parteien und Geltungsbereich

Dieser AVV gilt, wenn der Verantwortliche die Matproof-Dienste zur Verarbeitung personenbezogener Daten nutzt. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.

2. Gegenstand und Dauer

Gegenstand der Datenverarbeitung ist die Bereitstellung der Matproof Compliance-Automatisierungsplattform. Die Dauer entspricht der Laufzeit des Servicevertrags.

3. Art und Kategorien der Daten

Arten der verarbeiteten personenbezogenen Daten:

  • Mitarbeiterdaten (Namen, E-Mail-Adressen, Berufsbezeichnungen)
  • Benutzerkontoinformationen
  • Compliance- und Audit-Dokumentation
  • Kommunikationsaufzeichnungen

Kategorien betroffener Personen: Mitarbeiter, Auftragnehmer und autorisierte Benutzer des Verantwortlichen.

4. Pflichten des Auftragsverarbeiters (Art. 28 DSGVO)

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
  • Geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen
  • Unterauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung einzusetzen
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
  • Bei Meldungen von Sicherheitsverletzungen und Datenschutz-Folgenabschätzungen zu unterstützen
  • Personenbezogene Daten nach Beendigung der Dienste zu löschen oder zurückzugeben
  • Alle erforderlichen Informationen zum Nachweis der Compliance zur Verfügung zu stellen

5. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt folgende Sicherheitsmaßnahmen um:

  • Verschlüsselung ruhender und übertragener Daten (AES-256, TLS 1.3)
  • Zugangskontrollen und Authentifizierung (MFA, RBAC)
  • Regelmäßige Sicherheitsbewertungen und Penetrationstests
  • Verfahren zur Reaktion auf Vorfälle und Geschäftskontinuität
  • EU-Datenresidenz für persistente Kundendaten (Anwendungs- und Datenbank-Hosting in EU-Rechenzentren). Drittlandtransfers ausschließlich über Subprocessoren mit Sitz oder Datenverarbeitung in Drittländern, die in der Subprocessor-Liste namentlich genannt und über EU-Standardvertragsklauseln (SCC 2021/914) abgesichert sind.
  • ISO 27001-konforme Sicherheitskontrollen, jährliche unabhängige Penetrationstests, Schwachstellen-Scans im Wochenrhythmus

6. Unterauftragsverarbeiter

Der Verantwortliche genehmigt dem Auftragsverarbeiter die Beauftragung der in der jeweils aktuellen Subprocessor-Liste benannten Unterauftragsverarbeiter. Die Liste enthält je Anbieter den Rechtsträger samt Sitz, die Verarbeitungsregion, den Verarbeitungszweck, die Kategorien personenbezogener Daten und die Rechtsgrundlage (einschließlich SCC-Verweisen für Drittlandtransfers). Die Liste ist Bestandteil dieses Vertrags.

  • Vollständige und aktuelle Liste: matproof.com/privacy#subprocessors (Abschnitt „Auftragsverarbeiter (Subprocessoren)“).
  • Mit allen Unterauftragsverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO; bei Drittland-Anbietern zusätzlich EU-Standardvertragsklauseln (SCC 2021/914) gemäß Art. 46 DSGVO sowie ergänzende technische und organisatorische Schutzmaßnahmen.
  • Für KI-Inferenz-Anbieter (LLM) wird vertraglich vereinbart, dass eingegebene Inhalte nicht zum Training der Modelle verwendet werden (Zero-Data-Retention-API, soweit vom Anbieter angeboten).
  • Drittlandtransfers werden vom Auftragsverarbeiter über ein internes Transfer-Impact-Assessment (TIA) pro Anbieter dokumentiert.

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über Änderungen bei Unterauftragsverarbeitern (Hinzunahme, Ersetzung, Wegfall) per E-Mail an die hinterlegte Datenschutzkontaktadresse. Der Verantwortliche kann gegen neue Unterauftragsverarbeiter innerhalb von 30 Tagen aus berechtigten Gründen Einspruch erheben. Im Falle eines berechtigten Einspruchs werden die Parteien sich nach Treu und Glauben um eine einvernehmliche Lösung bemühen; ist dies nicht möglich, kann jede Partei den betroffenen Service nach den Regelungen im Hauptvertrag mit angemessener Frist beenden.

7. Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) innerhalb von 72 Stunden nach Erhalt solcher Anfragen.

8. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich (innerhalb von 24 Stunden), nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die die Daten des Verantwortlichen betrifft.

9. Prüfrechte

Der Verantwortliche kann die Einhaltung dieses AVV durch den Auftragsverarbeiter einmal jährlich nach angemessener Vorankündigung (mindestens 30 Tage) und während üblicher Geschäftszeiten prüfen oder durch einen unabhängigen, zur Verschwiegenheit verpflichteten Prüfer prüfen lassen. Die Prüfungsrechte umfassen Einsicht in einschlägige Sicherheits- und Compliance-Dokumentation, technische und organisatorische Maßnahmen sowie Verarbeitungsverzeichnisse, soweit dies zur Erfüllung der Pflichten aus Art. 28 DSGVO erforderlich ist. Der Auftragsverarbeiter erfüllt diese Anforderung primär durch (a) den jährlichen Bericht eines unabhängigen Penetrationstests, (b) die laufende ISO 27001-Compliance-Roadmap mit dokumentierten Kontrollen, sowie (c) ein Sicherheits-Whitepaper, das auf Anfrage ausgehändigt wird. Soll-Audits vor Ort sind nur dann zulässig, wenn die genannten Nachweise die berechtigten Prüfungsinteressen des Verantwortlichen nicht erfüllen.

10. Löschung oder Rückgabe von Daten

Nach Beendigung der Dienste löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen an den Verantwortlichen zurück, sofern nicht EU-Recht oder mitgliedstaatliches Recht eine weitere Speicherung erfordert. Das Format der Rückgabe (z. B. JSON-Export, CSV) wird vom Verantwortlichen in der Anforderung benannt; bei fehlender Spezifikation gilt das vom Auftragsverarbeiter bereitgestellte Standardformat. Backup-Kopien werden im Rahmen des regulären Backup-Zyklus überschrieben (spätestens nach 90 Tagen).

11. Internationale Datenübermittlungen (Drittlandtransfers)

Soweit der Auftragsverarbeiter Unterauftragsverarbeiter mit Sitz oder Datenverarbeitung außerhalb der EU/des EWR einsetzt (insbesondere USA, Vereinigtes Königreich sowie EU-Tochtergesellschaften US-amerikanischer Konzerne), stützt er die Übermittlung auf folgende Garantien gemäß Art. 44 ff. DSGVO: (a) für das Vereinigte Königreich auf den EU-Angemessenheitsbeschluss vom 28. Juni 2021; (b) für die USA und sonstige Drittländer auf EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914, Modul 2 bzw. 3, je nach Konstellation); (c) zusätzlich auf ergänzende technische und organisatorische Maßnahmen einschließlich Verschlüsselung im Transit und im Ruhezustand, Pseudonymisierung sofern möglich, Zero-Data-Retention-Vereinbarungen mit KI-Anbietern sowie vertragliche Zweckbeschränkung. Der Auftragsverarbeiter führt für jeden Drittland-Unterauftragsverarbeiter ein Transfer-Impact-Assessment (TIA), das auf Anforderung in geeignet zusammengefasster Form zur Verfügung gestellt wird.

12. Haftung

Die Haftung der Parteien aus oder im Zusammenhang mit diesem AVV richtet sich nach den Regelungen des Hauptvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Ergänzend gilt: Schadensersatzansprüche zwischen den Parteien aus Verletzungen dieses AVV bleiben durch eine etwaige Haftungsbeschränkung im Hauptvertrag nur insoweit unberührt, wie dies nach Art. 82 DSGVO und sonstigem zwingenden Recht zulässig ist. Im Außenverhältnis gegenüber betroffenen Personen haftet jede Partei nach Art. 82 DSGVO eigenständig; im Innenverhältnis tragen die Parteien jeweils den Anteil, der ihrem Verschuldensanteil entspricht.

Fragen oder AVV-Anfragen

Für AVV-Unterzeichnungsanfragen oder Fragen kontaktieren Sie bitte:

E-Mail: legal@matproof.com