DAS DISKETTENWERK

Auftragsverarbeitungsvertrag (AV-Vertrag)

gemäß Art. 28 DSGVO zwischen dem Auftraggeber (Verantwortlicher) und dem DISKETTENWERK (Auftragsverarbeiter)

📋 Art. 28 DSGVO

Vertragsparteien

Auftraggeber / Kunde (Verantwortlicher)

[Name / Firma des Auftraggebers]
[Anschrift]
[Kontaktdaten]

Auftragsverarbeiter

DAS DISKETTENWERK
Inh. Daniel Wesseling
Achtenbuhr 12
48599 Gronau (Westf.)
E-Mail: info@diskettenwerk.de

Gegenstand und Dauer des Auftrags

(1) Der Verantwortliche übergibt dem Auftragsverarbeiter Datenträger (insbesondere Disketten / ZIP-Medien) zur sicheren Löschung und ggf. Weiterverwendung.

(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Durchführung dieses Auftrags.

(3) Die Vertragsdauer richtet sich nach der Dauer des jeweiligen Vorgangs; darüber hinaus gelten die in Abschnitt "Löschung der Daten" genannten Löschfristen.

Art und Zweck der Verarbeitung

  • Annahme, Registrierung und Bearbeitung eingehender Sendungen
  • Sichere Löschung durch Neuformatierung und Überschreiben
  • Funktionstests zur Wiederverwendbarkeit
  • Dokumentation und Kommunikation mit dem Verantwortlichen
Kein Einsatz zu eigenen Zwecken
Keine Weitergabe an Dritte (außer wie im Abschnitt "Unterauftragsverarbeiter" beschrieben)

Kategorien personenbezogener Daten

  • Namen und Kontaktdaten des Absenders / Ansprechpartners
  • Adress- und Versandinformationen
  • ggf. gerätespezifische Metadaten / Seriennummern
  • ggf. verbleibende auf Datenträgern enthaltene personenbezogene Daten (diese werden ausschließlich gelöscht und nicht eingesehen)

Kategorien betroffener Personen

Mitarbeiter, Kunden oder sonstige Personen, deren Daten sich noch auf den Datenträgern befinden können.

Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten,
  • Mitarbeiter zur Vertraulichkeit zu verpflichten,
  • angemessene technische und organisatorische Maßnahmen (TOM) umzusetzen (siehe Anhang),
  • keine Kopien oder Extraktionen von Dateninhalten anzufertigen,
  • keine eigenständige Bewertung, Auswertung oder Weitergabe der Daten vorzunehmen.
⚠️ Wichtig: Der Auftragsverarbeiter nimmt keine Einsicht in Inhalte der Datenträger. Die Inhalte werden gelöscht, ohne zuvor analysiert zu werden.

Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist verantwortlich für:

  • die Einstufung und Rechtmäßigkeit der Daten,
  • die Entscheidung, ob zertifizierte Vernichtung erforderlich ist,
  • die sachgerechte Vorbereitung und Übergabe der Datenträger.
💡 Falls der Verantwortliche gesetzlich zur zertifizierten Vernichtung verpflichtet ist, muss er einen dafür spezialisierten Anbieter wählen.

Einsatz von Unterauftragsverarbeitern

Folgende Dienstleister werden eingesetzt:

Dienstleister Tätigkeit Ort / Rechtsgrundlage
All-inkl.com Hosting & E-Mail-Bereitstellung EU / AV-Vertrag vorhanden
DHL / Deutsche Post Transport & Labelbereitstellung EU / Art. 6 Abs. 1 lit. b DSGVO
UPS / DPD optionaler Versanddienstleister EU / Art. 6 Abs. 1 lit. b DSGVO

Weitere Unterauftragsverarbeiter dürfen eingesetzt werden, sofern:

  • der Verantwortliche vorher informiert wird, und
  • kein Widerspruch aus berechtigten Gründen erfolgt.

Technische und organisatorische Maßnahmen (TOM)

Kurzfassung – vollständige Liste im Anhang der PDF-Version:

  • TLS-verschlüsselte E-Mail-Übertragung (soweit technisch möglich)
  • Zugriffsschutz / Need-to-Know-Prinzip
  • Getrennte Lagerung physischer Datenträger
  • Löschung durch mehrfaches Überschreiben + Neuformatierung
  • Kein Kopieren, Spiegeln oder Klonen der Datenträger

Löschung der Daten

  • Kommunikations- und Bearbeitungsdaten: Löschung 6 Monate nach Vorgangsabschluss
  • Rechtlich relevante Nachweise: gemäß gesetzlichen Aufbewahrungsfristen
  • Inhalte auf Datenträgern: werden während des Löschprozesses unwiederbringlich entfernt
💡 Es werden keine Datenbestände aufgebaut.

Haftung

Die Haftung richtet sich nach Art. 82 DSGVO.

Der Auftragsverarbeiter haftet nur für Schäden, die auf vorsätzlicher oder grob fahrlässiger Pflichtverletzung beruhen.

Auftragsende

Nach Abschluss des Vorgangs gehen Datenträger gemäß der AGB unwiderruflich in das Eigentum des Auftragsverarbeiters über.

Eine Rückgabe ist ausgeschlossen.

Schriftform

Änderungen dieses Vertrags bedürfen der Schriftform.

Anhang – Technische & organisatorische Maßnahmen (TOM)

  • Serverstandort in der EU
  • Zugriffsbeschränkung (nur befugte Personen)
  • Physische Lagerung in kontrollierten Räumen
  • Keine Auswertung / Einsicht der Datenträgerinhalte
  • Mehrfaches Überschreiben + Neuformatierung
  • Prüfung auf Lesbarkeit & Fehler (Sektorprüfung)
  • Protokollierung von Arbeitsabläufen
  • Transport nur in verschlossenen Behältnissen
  • TLS-verschlüsselte E-Mail-Übertragung (soweit unterstützt)
  • Regelmäßige Updates, Backup- und Wartungsroutinen

AV-Vertrag als PDF downloaden

Laden Sie den vollständigen Auftragsverarbeitungsvertrag als PDF herunter, drucken Sie ihn aus und senden Sie ihn uns unterschrieben zu.

📄 AV-Vertrag als PDF herunterladen Fragen zum AV-Vertrag?