Zum Inhalt springen
2.500 Lerninhalte schon ab 4,70€ pro Pflegekraft im Monat
AVV

Vereinbarung über eine DSGVO konforme Auftragsverarbeitung ​​​​​​

Letzte Aktualisierung: 02.Oktober 2025

Der Vertrag über Auftragsverarbeitung (AVV) zwischen Kunde nachfolgend „Verantwortlicher“ genannt und smartAware® – Smart Healthcare Solutions GmbH, Osterbekstr. 86a, 22083 Hamburg – nachfolgend „Auftragsverarbeiter“ genannt und gemeinsam als „Vertragsparteien“ bezeichnet – wird Folgendes vereinbart:

§1 Gegenstand der Vereinbarung

(1) Gegenstand dieses Auftrages ist die Bereitstellung einer mobilen Lernapplikation inklusive eines umfassenden Lernmanagementsystems (LMS). Im letzteren werden e-Kurse samt Lerninhalten administriert und die Mitarbeiter verwaltet. Diese erhalten dann Zugriff auf die mobile Lernapplikation. Der Auftragsverarbeiter stellt somit die gesamte softwareseitige Lösung zur Verfügung, damit Beschäftigte des Verantwortlichen mobil lernen können.

(2) Der Auftragsverarbeiter übernimmt folgende Bereitstellungs-, Administrations- und Supportdienstleistungen:

  • Bereitstellung und Administration der Daten (Vor- und Nachnamen, sowie der Mailadresse und/oder ggf. Pseudo-E-Mail-Adresse der User des Verantwortlichen oder andere entsprechende Kennzeichen) zur eindeutigen Identifizierung.
  • Bereitstellung und Administration von Nutzungsinformationen über den Konsum von digitalem Lern- und Wissenscontent des Auftraggebers in Form von z. B. PDFs, Videos, Web-based-Trainings, Podcasts, News oder Lernvideos etc. und die Ergebnisse von Wissenstests und Zertifizierungen, sowie den Hinweis auf den Ablauf von Zertifizierungen für die weitere Verwendung durch den Verantwortlichen.
  • Bereitstellung und Administration von Informationen über Zeitpunkte und Dauer (Login und Logout) der Verwendung der Lernapplikation und des Lernmanagementsystems und der Geräte, über die auf die Lern-App zugegriffen wird (insbesondere also Tablet, Smartphone, PC, verwendetes Betriebssystem), um z. B. im Falle einer Support- und Serviceanfrage die technischen Rahmenbedingungen schnell und detailliert nachvollziehen und entsprechende Hilfestellung leisten zu können.

(3) Folgende personenbezogene Daten können dabei verarbeitet bzw. auf folgende personenbezogene Daten kann dabei zugegriffen werden:

  • Vorname,
  • Nachname,
  • Mailadresse,
  • Ggf. Pseudo-E-Mail-Adresse ,

(4) Von der Verarbeitung betroffen sind folgende Kategorien von Personen:

  • Mitarbeiter des Auftragsverarbeiters,
  • Mitarbeiter des Verantwortlichen
  • Schulungsteilnehmer seitens des Verantwortlichen

(5) Die Verarbeitung beruht auf dem abgeschlossenen Abonnement bzw. dem individuellen Abonnement-Angebot vom.

(6) Die Dauer dieses Auftrags entspricht der Laufzeit des entsprechenden Abonnements.

§2 Weisungen der Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur für in § 1 (2) aufgeführte Zwecke bzw. nur auf Grund dokumentierter Weisungen des Verantwortlichen, es sei denn, er ist nach Unionsrecht zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine erteilte Weisung gegen geltende Datenschutzbestimmungen der Union oder eines Mitgliedstaats verstößt.

(3) Eine Verarbeitung der überlassenen personenbezogenen Daten durch den Auftragsverarbeiter für andere, insbesondere für eigene Zwecke ist unzulässig.

§3 Technisch-organisatorische Maßnahmen

(1) Der Auftragsverarbeiter trifft mindestens die im Anhang 1 aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die Maßnahmen haben ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Beurteilung des angemessenen Schutzniveaus tragen die Vertragsparteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen, den Zwecken der Verarbeitung und der Datenkategorien (insbesondere nach Art. 9 Abs. 1 bzw. Art. 10 DSGVO) sowie den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die betroffenen Personen gebührend Rechnung.

(2) Die in Anhang 1 aufgeführten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Diese sind durch den Auftragsverarbeiter anzupassen, wenn das bei Vertragsschluss festgelegte Sicherheitsniveau nicht mehr gewährleistet werden kann. Durch die Anpassung muss mindestens das Schutzniveau der bisherigen Maßnahmen erreicht werden. Soweit nichts anderes bestimmt ist, teilt der Auftragsverarbeiter die Anpassungen dem Verantwortlichen unaufgefordert mit.

§4 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass er den besonderen Anforderungen des Datenschutzes gerecht wird.

(2) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Soweit gesetzlich vorgeschrieben, bestellt der Auftragsverarbeiter einen Beauftragten für den Datenschutz und teilt dessen Kontaktdaten auf Anfrage mit. Der Auftragsverarbeiter informiert unverzüglich und unaufgefordert über den Wechsel des Datenschutzbeauftragten.

(4) Der Auftragsverarbeiter erbringt die Auftragsverarbeitung im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder innerhalb des Europäischen Wirtschaftsraums. Die Verarbeitung von personenbezogenen Daten in einem Drittland bedarf stets der vorherigen dokumentierten Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen der DSGVO erfüllt sind.

(5) Sofern der Auftragsverarbeiter Daten des Verantwortlichen im Auftrag verarbeitet, die dem Schutzbereich des § 203 StGB bzw. einem Berufsgeheimnis unterliegen, darf der Auftragsverarbeiter nur dann auf derartige Daten zugreifen, soweit dies im Einzelfall erforderlich ist. Der Auftragsverarbeiter verpflichtet sich in diesem Zusammenhang, alle Personen, die im Rahmen der beauftragten Tätigkeit die in Satz 1 genannten Daten verarbeiten, auf die Geheimhaltung nach § 203 StGB zu verpflichten. Dem Auftragsverarbeiter ist bekannt, dass hinsichtlich der Daten, die dem Schutzbereich des § 203 StGB unterliegen, ein Zeugnisverweigerungsrecht nach § 53a StPO besteht. Über die Ausübung des Rechtes auf Zeugnisverweigerung entscheidet der Berufsgeheimnisträger der Verantwortlichen. Dem Auftragsverarbeiter ist bekannt, dass die dem Berufsgeheimnis unterliegenden Daten, die sich im Gewahrsam des Auftragsverarbeiters zur Erhebung, Verarbeitung oder Nutzung befinden, dem Beschlagnahmeverbot des § 97 Abs. 1, 3 StPO unterliegen. Einer Sicherstellung ist zu widersprechen. Der Verantwortliche ist unverzüglich zu informieren, wenn eine Beschlagnahme der Daten zu erwarten ist oder bevorsteht.

§5 Unterstützungspflichten des Auftragsverarbeiters

(1) Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragsverarbeiter bei der Durchführung einer Datenschutz-Folgenabschätzung sowie einer ggf. erforderlichen Konsultation der Aufsichtsbehörden und bei Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jede Geltendmachung von Rechten durch die von den Datenverarbeitungen betroffenen Personen.

(2) Eine Unterstützung sichert der Auftragsverarbeiter bei der Prüfung von Datenschutzverletzungen und der Umsetzung etwaiger Melde- und Benachrichtigungspflichten zu sowie bei der Einhaltung der Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind.

(3) Ferner unterstützt der Auftragsverarbeiter mit geeigneten technischen und organisatorischen Maßnahmen, damit der Verantwortliche seine bestehenden Pflichten gegenüber der betroffenen Person erfüllen kann.

§5 Unterstützungspflichten des Auftragsverarbeiters

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Der Auftragsverarbeiter ist verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Auftragsverarbeiter darf Unterauftragnehmer (weitere Auftragsverarbeitung) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Die Zustimmungsfrist beträgt 4 Wochen ab Ankündigung und gilt danach als stillschweigend erteilt. Bei fehlender Zustimmung besteht für beide Parteien ein außerordentliches Sonderkündigungsrecht. Als mit Unterzeichnung dieses Vertrages genehmigt gilt die Unterbeauftragung folgender Unterauftragsverarbeiter: – Service Anbieter Lemon Systems GmbH, Beim Alten Gaswerk 1, 22761 Hamburg – Cloud Anbieter AWS Ltd. (Serverstandort in Frankfurt am Main), Amazon Web Services Germany GmbH Krausenstr. 38 10117 Berlin – CRM Software Anbieter 42he GmbH, Marktstraße 10, Gebäude E8, 50968 Köln – Dienstleister für Support- und Serviceleistungen MEDIFOX DAN GmbH, Junkersstraße 1, 31137 Hildesheim

(3) Ein Zugriff auf personenbezogene Daten durch den Unterauftragsverarbeiter darf erst erfolgen, wenn der Auftragsverarbeiter durch einen schriftlichen Vertrag, der auch in einem elektronischen Format abgeschlossen werden kann, mit dem Unterauftragsverarbeiter sicherstellt, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber dem Unterauftragsverarbeiter gelten. Diesen Vertrag kann der Auftraggeber auf Nachfrage einsehen.

(4) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen vollumfänglich dafür, dass der Unterauftragsverarbeiter seinen vertraglichen Pflichten nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen über vertragliche Pflichtverletzungen des Unterauftragsverarbeiters.

(5) Der Auftragsverarbeiter stellt bei einer Unterbeauftragung, die eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhaltet, die Einhaltung der Regelungen der Artikel 44 ff. DSGVO sicher, indem – sofern erforderlich – geeignete Garantien gemäß Artikel 46 DSGVO getroffen werden.

(7) Der Auftragsverarbeiter hat die Verpflichtung der weiteren mitwirkenden Personen und der Unterauftragsverarbeiter auf die Geheimhaltung gem. § 203 StGB und § 4 Abs. 5 dieses Vertrages sicherzustellen.

§7 Kontrollrechte des Verantwortlichen

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesem Vertrag festgelegten oder sich unmittelbar aus der DSGVO ergebenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diesen Vertrag fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen im Sinne des Art. 28 Abs. 5 DSGVO des Auftragsverarbeiters berücksichtigen.

(2) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können gegebenenfalls auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden mit angemessener Vorankündigung und unter Einhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragsverarbeiters sowie nach Möglichkeit ohne Störung des Betriebsablaufs durchgeführt.

(3) Die Vertragsparteien stellen den zuständigen Aufsichtsbehörden die in diesem Vertrag genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

§8 Mitzuteilende Verstöße

(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über Störungen des Betriebsablaufs, die Gefahren für die Daten des Verantwortlichen mit sich bringen, sowie bei Bekanntwerden von Datenschutzverletzungen im Zusammenhang mit den Daten des Verantwortlichen. Gleiches gilt, wenn der Auftragsverarbeiter feststellt, dass die bei ihm getroffenen Sicherheitsmaßnahmen den gesetzlichen Anforderungen nicht genügen.

(2) Dem Auftragsverarbeiter ist bekannt, dass der Verantwortliche verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person zu melden. Er wird Verletzungen an den Verantwortlichen unverzüglich melden und hierbei zumindest folgende Informationen mitteilen:

  • Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze,
  • Name und Kontaktdaten von Kontaktpersonen für weitere Informationen,
  • Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung oder zur Abmilderung der sich daraus ergebenden nachteiligen Auswirkungen.

§9 Beendigung des Auftrags

(1) Mit Beendigung der Auftragsverarbeitung hat der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, soweit nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht, dies gilt auch für etwaige Sicherungskopien nach Maßgabe der getroffenen technischen und organisatorischen Maßnahmen. Die Löschung hat der Auftragsverarbeiter dem Verantwortlichen in Textform anzuzeigen.

(2) Der Verantwortliche kann das Auftragsverhältnis ohne Einhaltung einer Frist kündigen, wenn der Auftragsverarbeiter einen schwerwiegenden Verstoß gegen die Bestimmungen dieses Vertrags oder gegen datenschutzrechtliche Bestimmungen begeht und dem Verantwortlichen aufgrund dessen die Fortsetzung der Auftragsverarbeitung bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Auftrags nicht zugemutet werden kann.

(3) Der Auftragsverarbeiter kann das Auftragsverhältnis ohne Einhaltung einer Frist kündigen, wenn der Verantwortliche auf die Erfüllung seiner Weisungen besteht, obwohl diese Weisungen gegen geltende rechtliche Anforderungen oder gegen diesen Vertrag verstoßen und der Auftragsverarbeiter den Verantwortlichen darüber in Kenntnis gesetzt hat.

§10 Schlussbestimmungen

(1) Sollte das Eigentum des Verantwortlichen bei dem Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu verständigen. Ein Zurückbehaltungsrecht ist in Bezug auf Datenträger und Datenbestände des Verantwortlichen ausgeschlossen.

(2) Die Vertragsbegründung, Vertragsänderungen und Nebenabreden sind schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

(3) Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.