Vertrag zur Auftragsverarbeitung (AVV)
Dieser Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO ergänzt den Nutzungsvertrag über die SaaS-Plattform Colly.io und regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden.
Präambel
Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien, die sich aus der im Nutzungsvertrag über die Software-as-a-Service-Anwendung Colly.io (nachfolgend „Hauptvertrag") vereinbarten Verarbeitung personenbezogener Daten ergeben. Er gilt für alle Tätigkeiten, bei denen die Colly Solutions GmbH i. G. (nachfolgend „Auftragnehmer") als Auftragsverarbeiterin im Sinne des Art. 28 DSGVO personenbezogene Daten im Auftrag des Kunden (nachfolgend „Verantwortlicher") verarbeitet.
§ 1 Gegenstand, Art und Zweck der Verarbeitung
(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und des Betriebs der Anwendung Colly.io gemäß Hauptvertrag.
(2) Art und Zweck der Verarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten sowie die Kategorien der betroffenen Personen ergeben sich abschließend aus Anlage 1 zu diesem AVV.
(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags, sofern sich aus den Regelungen dieses AVV keine darüber hinausgehenden Pflichten ergeben.
§ 2 Verantwortlichkeit und Weisungsrecht
(1) Der Verantwortliche ist im Sinne der datenschutzrechtlichen Vorschriften allein für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich. Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.
(2) Die Weisungen werden zunächst durch den Hauptvertrag und die Leistungsbeschreibung festgelegt und können vom Verantwortlichen danach in Textform geändert, ergänzt oder ersetzt werden (Einzelweisungen). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.
(4) Anfragen und Weisungen des Verantwortlichen sind an den beim Auftragnehmer benannten Ansprechpartner (§ 4 Abs. 6) zu richten.
§ 3 Ort der Verarbeitung
Die Verarbeitung der personenbezogenen Daten findet ausschließlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Eine Verlagerung der Verarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und ist nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
§ 4 Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich insbesondere zu Folgendem:
- die personenbezogenen Daten ausschließlich nach den dokumentierten Weisungen des Verantwortlichen zu verarbeiten;
- die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (§ 5, Anlage 2) zu treffen und einzuhalten;
- den Verantwortlichen bei der Erfüllung der Rechte der betroffenen Personen (Art. 12 bis 23 DSGVO) sowie bei der Einhaltung der Pflichten aus den Art. 32 bis 36 DSGVO (Datensicherheit, Meldepflichten, Datenschutz-Folgenabschätzung) im Rahmen seiner Möglichkeiten zu unterstützen;
- den Verantwortlichen unverzüglich zu informieren, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden (§ 8);
- ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO zu führen;
- dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen.
(6) Der Auftragnehmer benennt einen Ansprechpartner für den Datenschutz. Dieser ist unter kontakt@colly.io erreichbar. Der Auftragnehmer teilt dem Verantwortlichen einen etwaigen benannten Datenschutzbeauftragten auf Anfrage mit.
§ 5 Technische und organisatorische Maßnahmen
(1) Der Auftragnehmer trifft die zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 2 beschrieben.
(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer ist berechtigt, alternative, angemessene Maßnahmen umzusetzen, solange das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren.
§ 6 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
(2) Der Auftragnehmer wählt die Unterauftragsverarbeiter sorgfältig aus und verpflichtet sie vertraglich auf datenschutzrechtliche Pflichten, die den Pflichten aus diesem AVV entsprechen (Art. 28 Abs. 4 DSGVO).
(3) Beabsichtigt der Auftragnehmer, einen Unterauftragsverarbeiter hinzuzuziehen oder zu ersetzen, informiert er den Verantwortlichen hierüber vorab in Textform. Der Verantwortliche kann der Änderung innerhalb von zwei Wochen nach Zugang der Information aus wichtigem, datenschutzrechtlich begründetem Anlass widersprechen. Im Fall eines berechtigten Widerspruchs sind die Parteien um eine einvernehmliche Lösung bemüht; kommt eine solche nicht zustande, ist der Auftragnehmer berechtigt, die betroffene Leistung nicht zu erbringen, und der Verantwortliche zur außerordentlichen Kündigung berechtigt.
(4) Nicht als Unterauftragsverarbeitung im Sinne dieses AVV gelten Nebenleistungen, die der Auftragnehmer zur Unterstützung seiner Tätigkeit in Anspruch nimmt (z. B. Telekommunikations- oder Reinigungsleistungen). Für die Sicherheit und den Schutz personenbezogener Daten bleibt der Auftragnehmer auch insoweit verantwortlich.
§ 7 Unterstützung bei den Rechten der betroffenen Personen
Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, so leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter. Der Auftragnehmer unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträgen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch nachzukommen. Berichtigungen, Löschungen oder Einschränkungen nimmt der Auftragnehmer nur auf Weisung des Verantwortlichen vor, soweit er nicht gesetzlich hierzu verpflichtet ist.
§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten
(1) Der Auftragnehmer meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die die im Auftrag verarbeiteten Daten betrifft, unverzüglich nach Bekanntwerden.
(2) Die Meldung enthält die dem Auftragnehmer verfügbaren Informationen, die der Verantwortliche zur Erfüllung seiner Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO benötigt. Der Auftragnehmer unterstützt den Verantwortlichen bei der Aufklärung, Eindämmung und Behebung des Vorfalls in angemessenem Umfang.
§ 9 Nachweis- und Kontrollrechte
(1) Der Auftragnehmer weist dem Verantwortlichen die Einhaltung der Pflichten aus diesem AVV mit geeigneten Mitteln nach. Der Nachweis kann durch aktuelle Testate, Zertifizierungen (z. B. nach anerkannten Standards) oder Berichte unabhängiger Prüfstellen erbracht werden.
(2) Der Verantwortliche ist berechtigt, sich von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Kontrollen erfolgen in der Regel höchstens einmal jährlich, mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne vermeidbare Störung des Betriebsablaufs des Auftragnehmers. Bei konkretem Anlass kann eine Kontrolle auch kurzfristiger erfolgen.
(3) Der Auftragnehmer kann für die Ermöglichung von Kontrollen, die über die Bereitstellung vorhandener Nachweise hinausgehen, eine angemessene Vergütung des ihm entstehenden Aufwands verlangen.
§ 10 Löschung und Rückgabe nach Beendigung
(1) Nach Beendigung der Verarbeitungstätigkeiten hat der Auftragnehmer nach Wahl des Verantwortlichen alle personenbezogenen Daten entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.
(2) Der Auftragnehmer stellt dem Verantwortlichen die Daten hierzu nach Beendigung des Hauptvertrags für einen Zeitraum von 30 Tagen in einem gängigen, maschinenlesbaren Format zum Export bereit. Nach Ablauf dieser Frist löscht der Auftragnehmer die personenbezogenen Daten einschließlich etwaiger Kopien, vorbehaltlich bestehender gesetzlicher Aufbewahrungspflichten.
(3) Die Löschung der Daten wird dem Verantwortlichen auf Anforderung in geeigneter Form bestätigt.
§ 11 Haftung
(1) Für die Haftung gegenüber betroffenen Personen gilt Art. 82 DSGVO. Im Innenverhältnis haften die Parteien im Verhältnis ihres jeweiligen Verantwortungsanteils an dem Umstand, durch den der Schaden verursacht wurde.
(2) Die im Hauptvertrag vereinbarten Haftungsbeschränkungen gelten auch für Ansprüche im Zusammenhang mit diesem AVV, soweit dies gesetzlich zulässig ist.
§ 12 Schlussbestimmungen
(1) Die Anlagen 1 bis 3 sind Bestandteil dieses AVV.
(2) Bei Widersprüchen zwischen den Regelungen dieses AVV und den Regelungen des Hauptvertrags gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.
(3) Änderungen und Ergänzungen dieses AVV bedürfen mindestens der Textform. Dies gilt auch für die Änderung dieses Formerfordernisses.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Maßgeblich ist die deutsche Fassung dieses AVV.
(5) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt.
Anlage 1 – Gegenstand der Verarbeitung
Art und Zweck der Verarbeitung
Bereitstellung und Betrieb der SaaS-Anwendung Colly.io zur Zusammenführung, Verwaltung und Automatisierung von Aufträgen aus mehreren Verkaufskanälen sowie zur Lager- und Bestandsverwaltung, Versandabwicklung, Retourenbearbeitung und Vorbereitung buchhalterischer Prozesse, einschließlich der hierfür erforderlichen Anbindung an Systeme Dritter (z. B. Marktplätze, Shopsysteme, Versand-, Zahlungs- und Buchhaltungssysteme).
Kategorien personenbezogener Daten
- Stammdaten (z. B. Name, Firma, Anschrift),
- Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer),
- Vertrags- und Bestelldaten (z. B. Bestellungen, Auftragshistorie, Artikel),
- Zahlungs- und Abrechnungsdaten (z. B. Rechnungsdaten, Zahlungsstatus),
- Kommunikations- und Versanddaten (z. B. Nachrichten, Sendungs- und Retourendaten),
- sonstige vom Verantwortlichen in die Anwendung eingestellte personenbezogene Daten.
Kategorien betroffener Personen
- Kunden und Endkunden des Verantwortlichen,
- Interessenten und Geschäftskontakte des Verantwortlichen,
- Lieferanten und Dienstleister des Verantwortlichen,
- Beschäftigte und Nutzer des Verantwortlichen.
Anlage 2 – Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Die konkrete Ausgestaltung wird laufend an den Stand der Technik angepasst.
1. Vertraulichkeit
- Zutrittskontrolle: Betrieb in Rechenzentren innerhalb der EU/des EWR mit geeigneten Zutrittssicherungen; kein unbefugter physischer Zugang zu den Verarbeitungsanlagen.
- Zugangskontrolle: individuelle Benutzerkonten, Authentifizierung über sichere Passwörter gemäß Passwortrichtlinie, Sperrung bei Missbrauchsverdacht.
- Zugriffskontrolle: rollenbasiertes Berechtigungskonzept nach dem Prinzip der minimalen Rechte, Protokollierung von Zugriffen.
- Trennungskontrolle: mandantengetrennte Verarbeitung der Kundendaten, logische Trennung von Test- und Produktivumgebung.
2. Integrität
- Weitergabekontrolle: verschlüsselte Datenübertragung nach dem Stand der Technik (z. B. TLS).
- Eingabekontrolle: Nachvollziehbarkeit von Eingaben und Änderungen durch Protokollierung.
3. Verfügbarkeit und Belastbarkeit
- regelmäßige Datensicherungen (Backups) und dokumentierte Wiederherstellungsverfahren,
- Schutzmaßnahmen gegen Schadsoftware, Einsatz von Firewalls sowie Patch- und Schwachstellenmanagement,
- redundante Systemauslegung zur Erhöhung der Ausfallsicherheit.
4. Pseudonymisierung und Verschlüsselung
- Verschlüsselung personenbezogener Daten bei der Übertragung und, soweit angemessen, bei der Speicherung nach dem Stand der Technik.
5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Datenschutzmanagement und Verpflichtung der Beschäftigten auf Vertraulichkeit,
- Sensibilisierung und Schulung der mit der Verarbeitung befassten Personen,
- Verfahren zur Erkennung und Behandlung von Sicherheitsvorfällen (Incident Response),
- regelmäßige Überprüfung der Wirksamkeit der Maßnahmen sowie Berücksichtigung von Privacy by Design und Privacy by Default.
Anlage 3 – Unterauftragsverarbeiter
Der Verantwortliche genehmigt den Einsatz der nachfolgend aufgeführten Unterauftragsverarbeiter. Die jeweils aktuelle Fassung dieser Liste wird dem Verantwortlichen auf Anfrage zur Verfügung gestellt und bei Änderungen gemäß § 6 mitgeteilt.
- Hosting/Rechenzentrum – [Anbieter, Ort, EU/EWR] – Betrieb der Server- und Speicherinfrastruktur,
- E-Mail-Versand – [Anbieter, Ort, EU/EWR] – Versand transaktionaler und systembezogener E-Mails,
- Monitoring und Fehleranalyse – [Anbieter, Ort] – Überwachung von Betrieb und Fehlern,
- Kundensupport – [Anbieter, Ort] – Bearbeitung von Supportanfragen,
- Zahlungsabwicklung – [Anbieter, Ort] – Abwicklung von Zahlungen.
Die in eckigen Klammern angegebenen Platzhalter werden vor Vertragsschluss durch die tatsächlich eingesetzten Unterauftragsverarbeiter ersetzt.
Auftragnehmer und Kontakt
Stand: Juli 2026