§1 Vertragsparteien und Rollen
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Mandant, der den Mandatsvertrag mit WERIXO geschlossen hat (im Folgenden: Verantwortlicher).
Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist José Carlos Martín Lache, handelnd unter der Geschäftsbezeichnung WERIXO, mit Sitz in Köln, Nordrhein-Westfalen, Deutschland (im Folgenden: WERIXO).
Dieser AVV ist Bestandteil des Mandatsvertrags und regelt die Bedingungen, unter denen WERIXO personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Im Verhältnis zwischen den Parteien verbleibt die datenschutzrechtliche Verantwortung für die Rechtmäßigkeit der Verarbeitung beim Verantwortlichen.
§2 Gegenstand, Art und Zweck der Verarbeitung
Gegenstand: Erbringung von Managed-IT-Services durch WERIXO im Rahmen des Mandatsvertrags (Essentials, Managed oder NIS2-Sprint).
Art der Verarbeitung: Erfassen, Speichern, Auslesen, Verändern, Übermitteln und Löschen personenbezogener Daten, soweit dies zur Erbringung der vereinbarten Leistungen erforderlich ist.
Zweck: Aufrechterhaltung des IT-Betriebs des Verantwortlichen, IT-Helpdesk, Backup-Monitoring, Endpoint-Security-Verwaltung, IT-Inventur, Gap-Analyse, Erstellung des monatlichen Evidence Pack gemäß DIN SPEC 27076.
WERIXO verarbeitet die Daten ausschließlich nach dokumentierten Weisungen des Verantwortlichen und zu keinen eigenen Zwecken.
§3 Kategorien personenbezogener Daten
Stamm- und Kontaktdaten: Namen, Funktionsbezeichnungen, dienstliche E-Mail-Adressen und Telefonnummern der Mitarbeiter und Berater des Verantwortlichen.
Authentifizierungs- und Zugriffsdaten: Benutzernamen, Benutzer-IDs, Zugriffszeiten, IP-Adressen, Login-Protokolle im Kontext des IT-Betriebs und Sicherheits-Monitorings.
Gerätedaten und technische Metadaten: Gerätekennung, Seriennummern, Betriebssystemversionen, installierte Software, Patch-Status im Kontext der IT-Inventur.
Inhaltsdaten nur soweit technisch unvermeidbar im Rahmen von Backup-Verifikation oder Incident Response.
Keine Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ohne ausdrückliche und schriftliche Vereinbarung.
§4 Kategorien betroffener Personen
Mitarbeiterinnen und Mitarbeiter des Verantwortlichen, einschließlich freier Mitarbeiter und externer Berater mit Zugriff auf die betreuten IT-Systeme.
Geschäftskontakte des Verantwortlichen (Kunden, Lieferanten, Partner), soweit deren Daten in zu sichernden oder verwaltenden Systemen des Verantwortlichen vorhanden sind.
Endkunden des Verantwortlichen nur insoweit und nur in den Fällen, in denen der Zugriff operativ unvermeidbar ist.
§5 Dauer der Verarbeitung
Die Verarbeitung beginnt mit dem Inkrafttreten des Mandatsvertrags und endet mit dessen Beendigung.
Für den Zeitraum nach Beendigung gilt §12 dieses AVV (Löschung und Rückgabe). WERIXO darf die Daten nur so lange aufbewahren, wie dies für die Rückgabe oder Löschung sowie für gesetzliche Aufbewahrungspflichten erforderlich ist.
§6 Weisungsgebundenheit
WERIXO verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
Weisungen des Verantwortlichen bedürfen der Textform (E-Mail genügt). Mündliche Weisungen werden von WERIXO unverzüglich schriftlich bestätigt.
Erteilt der Verantwortliche eine Weisung, von der WERIXO annimmt, dass sie gegen die DSGVO oder andere anwendbare Datenschutzvorschriften verstößt, informiert WERIXO den Verantwortlichen unverzüglich. WERIXO ist berechtigt, die Ausführung einer offensichtlich rechtswidrigen Weisung zu verweigern.
§7 Technische und organisatorische Maßnahmen (TOMs)
WERIXO trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, einschließlich der Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).
Zutrittskontrolle: Server in deutschen Rechenzentren der Netcup GmbH, Daimlerstraße 25, 91301 Forchheim (Rechenzentren: Region Nürnberg), ISO 27001 zertifiziert seit 2023 (TÜV NORD CERT GmbH). Admin-Zugang ausschließlich via WireGuard VPN (kein öffentlicher SSH-Zugang).
Zugangskontrolle: Multi-Faktor-Authentifizierung (MFA) verpflichtend. Least-Privilege-Prinzip. Passwortrichtlinie nach BSI-Empfehlungen.
Verschlüsselung: TLS 1.3 im Transport. AES-256 at rest für Backup-Daten. Pseudonymisierung von Monitoring-Daten im Evidence Pack soweit operativ möglich.
Verfügbarkeitskontrolle: Backup nach 3-2-1-Prinzip (3 Kopien, 2 verschiedene Medientypen, 1 Offsite-Kopie). Regelmäßige dokumentierte Restore-Tests.
Trennungskontrolle: Mandantendaten werden logisch voneinander getrennt gespeichert und verarbeitet.
Vollständige TOMs werden als Anhang A zum finalen, unterzeichneten AVV dokumentiert und regelmäßig aktualisiert.
§8 Vertraulichkeitsverpflichtung
WERIXO verpflichtet alle Personen, die mit der Verarbeitung der Daten des Verantwortlichen betraut sind, zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
Die Vertraulichkeitspflicht gilt zeitlich unbefristet, auch nach Beendigung des Beschäftigungs- oder Auftragsverhältnisses mit WERIXO.
WERIXO stellt sicher, dass die mit der Verarbeitung betrauten Personen über die anwendbaren Datenschutzvorschriften informiert und entsprechend geschult werden.
§9 Unterauftragsverarbeiter
Der Verantwortliche erteilt WERIXO hiermit die allgemeine schriftliche Genehmigung gemäß Art. 28 Abs. 2 DSGVO für den Einsatz der in Anhang B dieses AVV genannten Unterauftragsverarbeiter.
Aktuelle Unterauftragsverarbeiter (Stand: 2026-06-11): (1) Netcup GmbH, Daimlerstraße 25, 91301 Forchheim, DE: Hosting-Infrastruktur, Rechenzentren Region Nürnberg. (2) Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA: CDN/Edge-Layer für die Website; EU-US DPF + SCC; keine Mandantendaten. (3) Microsoft Ireland Operations Ltd., One Microsoft Place, Dublin 18, Irland: Microsoft 365 Kerndienstdaten (E-Mail, Kalender, Dateien) im EU Data Boundary; bestimmte Diagnose- und Sicherheitsdaten können auf Basis von SCC außerhalb der EU verarbeitet werden. (4) Bitdefender S.R.L., 24 Delea Veche Street, Bukarest, Rumänien (EU): Endpoint-Security (EDR), Datenverarbeitung in der EU. (5) Action1 Corporation, 708 Main St, 10th FL, Houston, TX 77002, USA: Remote-Monitoring und Patch-Management (RMM); Verarbeitung technischer Endpoint-Metadaten (Betriebssystemversion, installierte Software, Patch-Status), IP-Adressen und Authentifizierungs-Metadaten der betreuten Systeme. Übermittlung in die USA ausschließlich auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Action1 ist nach ISO 27001, SOC 2 Type 2 und ISO 27017 zertifiziert. Action1 setzt seinerseits eigene Unterauftragsverarbeiter ein (Hosting: Amazon Web Services); die jeweils aktuelle Liste ist unter action1.com/legal/data-processors veröffentlicht und unterliegt denselben SCC-Garantien.
Unmittelbare Unterauftragsverarbeiter: Bei der geplanten Hinzuziehung oder dem Austausch eines unmittelbaren Unterauftragsverarbeiters informiert WERIXO den Verantwortlichen mindestens 30 Kalendertage im Voraus in Textform. Die Mitteilung nennt Namen, Sitz, verarbeitete Datenkategorien und Ort der Verarbeitung.
Änderungen in der Unterauftragskette: Ändert ein bestehender Unterauftragsverarbeiter seinerseits seine eigene Kette (etwa Action1 die unter action1.com/legal/data-processors fortlaufend veröffentlichte Liste), informiert WERIXO den Verantwortlichen unverzüglich nach eigener Kenntnis. Da der Zeitpunkt solcher Änderungen vom jeweiligen Unterauftragsverarbeiter bestimmt wird, gilt hier keine feste 30-Tage-Frist; maßgeblich ist die veröffentlichte Liste.
Widerspruch: Der Verantwortliche kann innerhalb von 14 Kalendertagen ab Zugang der Mitteilung aus nachvollziehbaren datenschutzrechtlichen Gründen in Textform widersprechen. Die Frist ist so bemessen, dass WERIXO einen berechtigten Widerspruch fristgerecht gegenüber dem betroffenen Unterauftragsverarbeiter geltend machen kann. Ohne fristgerechten Widerspruch gilt die Genehmigung als erteilt. Lässt sich nach einem berechtigten Widerspruch keine datenschutzkonforme Alternative finden, steht dem Verantwortlichen ein Sonderkündigungsrecht zu.
WERIXO stellt sicher, dass mit jedem Unterauftragsverarbeiter ein eigener Auftragsverarbeitungsvertrag mit Datenschutzverpflichtungen abgeschlossen wird, die mindestens dem Schutzniveau dieses AVV entsprechen.
§10 Unterstützung bei Betroffenenanfragen
WERIXO unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten nach Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
Bei Eingang einer Betroffenenanfrage leitet WERIXO diese unverzüglich, spätestens innerhalb von 3 Werktagen, an den Verantwortlichen weiter.
WERIXO stellt dem Verantwortlichen die zur Beantwortung erforderlichen Informationen innerhalb von 5 Werktagen nach Anforderung zur Verfügung.
Die rechtliche Verantwortung für die fristgerechte Beantwortung von Betroffenenanfragen verbleibt beim Verantwortlichen (Art. 12 DSGVO: 1 Monat).
§11 Meldung von Datenschutzverletzungen
WERIXO informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten (Art. 28 Abs. 3 lit. f, Art. 33 Abs. 2 DSGVO).
Die Meldung enthält: Art der Verletzung, betroffene Datenkategorien und Anzahl betroffener Personen, Beschreibung der wahrscheinlichen Folgen, ergriffene Maßnahmen.
WERIXO unterstützt den Verantwortlichen bei der gesetzlichen 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) sowie bei der etwaigen Benachrichtigung betroffener Personen (Art. 34 DSGVO).
§12 Löschung oder Rückgabe nach Auftragsende
Nach Beendigung des Mandatsvertrags hat WERIXO nach Wahl des Verantwortlichen alle personenbezogenen Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO).
Übergabezeitraum: 30 Kalendertage ab Vertragsende. Datenformat: maschinenlesbar (CSV, JSON, gängige Office-Formate). Keine Lock-in-Gebühren.
Backup-Kopien werden gemäß den vereinbarten Aufbewahrungszyklen (maximal 90 Tage) automatisch gelöscht.
Gesetzliche Aufbewahrungspflichten (§257 HGB: 6 bzw. 10 Jahre, §147 AO: 6 bzw. 10 Jahre) bleiben unberührt. WERIXO bestätigt die erfolgte Löschung oder Rückgabe in Textform.
§13 Nachweispflichten, Audits und Inspektionen
WERIXO stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).
Das vierteljährliche Evidence Pack ist das reguläre Audit-Werkzeug. Es dokumentiert TOM-Umsetzung, Backup-Restore-Tests, Vorfälle und Sicherheitsmaßnahmen.
Der Verantwortliche hat das Recht, Inspektionen mit einer Vorankündigungsfrist von mindestens 14 Werktagen durchzuführen. Außerordentliche Audits über das Evidence Pack hinaus können WERIXO zum Tagessatz berechnet werden.
§14 Haftung zwischen den Parteien
Für Schäden, die eine betroffene Person aufgrund einer DSGVO-Verletzung erleidet, haften Verantwortlicher und Auftragsverarbeiter gesamtschuldnerisch (Art. 82 DSGVO).
WERIXO ist von der Haftung nach Art. 82 Abs. 3 DSGVO befreit, wenn WERIXO nachweist, in keiner Weise für den Schaden verantwortlich zu sein.
Im Innenverhältnis trägt jede Partei den Anteil am Schaden entsprechend ihrer Verantwortlichkeit. Die Haftungsregelungen der AGB (§9 AGB) gelten ergänzend.
Der Verantwortliche stellt WERIXO von Ansprüchen frei, die darauf beruhen, dass der Verantwortliche WERIXO datenschutzwidrige Weisungen erteilt hat.
§15 Schlussbestimmungen
Dieser AVV unterliegt deutschem Recht. Gerichtsstand ist Köln.
Im Fall von Widersprüchen zwischen diesem AVV und dem Mandatsvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Belangen vor.
Soweit einzelne Klauseln dieses AVV unwirksam sein sollten, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
Änderungen dieses AVV bedürfen der Textform und der beiderseitigen Zustimmung, soweit nicht Art. 28 Abs. 2 DSGVO ausdrücklich geregelt ist.