AVV & Technisch-organisatorische Massnahmen¶
Kurzfassung: Standardvertrag und TOM-Uebersicht stehen zum Download bereit. Individuelle Anpassungen pruefen wir innerhalb von 5 Werktagen.
Auftragsverarbeitungsvertrag (AVV)¶
Unser Standard-AVV gemaess DSGVO Art. 28 liegt in der aktuellen Version v1 vor. Er regelt:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Kategorien betroffener Personen + verarbeitete Datenkategorien
- Pflichten von Auftragnehmer und Verantwortlichem
- Sub-Processoren-Genehmigung (Allgemein-Genehmigung mit Widerspruchsrecht und 7-Tage-Notify)
- Technisch-organisatorische Massnahmen (Anlage 1)
- Loesch- und Rueckgabe-Verfahren
Hinweis fuer Bestandskunden
Aktuelle AVV-Versionen werden bei Vertragsschluss bzw. bei Aenderungen an die hinterlegten DSB-Adressen versendet. Sie haben 30 Tage Widerspruchsrecht bei materiellen Aenderungen.
Technisch-organisatorische Massnahmen (TOM)¶
Nach DSGVO Art. 32 dokumentieren wir die TOM in einem eigenen Dokument zum Vertrag. Die Uebersicht enthaelt:
| Bereich | Inhalt |
|---|---|
| Zutrittskontrolle | Rechenzentrums-Standort, Zertifikate des Hosters |
| Zugangskontrolle | Multi-Faktor-Authentifizierung, SSO, Passwort-Policy |
| Zugriffskontrolle | Rollenbasierte Berechtigungen, Tenant-Isolation, Berechtigungs-Reviews |
| Weitergabekontrolle | TLS 1.3, Verschluesselung im Ruhezustand (AES-256-GCM) |
| Eingabekontrolle | Audit-Log mit Hash-Kette, jede Aenderung nachvollziehbar |
| Auftragskontrolle | Sub-Processor-Liste, AVV-Pflicht fuer alle Drittparteien |
| Verfuegbarkeitskontrolle | Backup-Strategie, RTO/RPO, BCP/DR-Plan |
| Trennbarkeit | Multi-Tenant mit Row-Level Security auf DB-Ebene |
| Pseudonymisierung | Wo zulaessig (z. B. AI-Eingaben) |
| Verschluesselung | At-Rest und In-Transit, separate Schluessel pro Bereich |
TOM-Uebersicht herunterladen (PDF)
Individuelle AVV-Anpassungen¶
Enterprise-Kunden mit eigenem Vertragsmuster (z. B. Konzern-Standard) koennen einen Pruef-Antrag bei datenschutz@solvevo-it.com stellen. Wir antworten innerhalb von 5 Werktagen mit:
- Annahme ohne Aenderung
- Annahme mit Anpassungs-Wunsch (in Word-Form mit Track-Changes)
- Begruendete Ablehnung (selten — typischerweise bei Klauseln zu Sub-Processoren-Veto-Rechten ohne Frist)
Allgemeine Sub-Processoren-Genehmigung¶
Mit der Unterzeichnung des AVV erteilt der Auftraggeber eine allgemeine Genehmigung zur Hinzunahme weiterer Sub-Processoren. Wir verpflichten uns dafuer:
- 7 Tage Vorab-Information ueber neue Sub-Processoren via E-Mail an die hinterlegten DSB-Adressen.
- Widerspruchsrecht des Auftraggebers binnen dieser 7 Tage.
- Gleichwertige Verpflichtung des neuen Sub-Processors zu DSGVO-konformer Verarbeitung.
- Veroeffentlichung in der Sub-Processor-Liste auf diesem Trust Center.
Aktuelle Sub-Processor-Liste: hier.
Detailansicht
Vollstaendige TOM-Spezifikation, Krypto-Konzept, Loeschkonzept und Logging-Konzept stellen wir Auditoren unter NDA bereit. Dokumente anfordern.