Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO – Stand: Mai 2026
§ 1 Gegenstand, Anwendungsbereich und Dauer
1.1 Dieser Auftragsverarbeitungsvertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers durch den Auftragnehmer gemäß Art. 28 DSGVO.
1.2 Der Auftragnehmer bietet digitale Produkte, Onlinekurse, Webinare, E-Mail-Inhalte, Beratungsleistungen sowie begleitende digitale Angebote im Bereich Wellness für Frauen ab 40, ätherische Öle, Gesundheit, Wohlbefinden und persönliche Entwicklung an.
1.3 Dieser Vertrag gilt nur, soweit der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet. Für Datenverarbeitungen, bei denen der Auftragnehmer selbst über Zwecke und Mittel der Verarbeitung entscheidet, bleibt der Auftragnehmer eigenständig Verantwortlicher.
1.4 Die Laufzeit dieses Vertrags entspricht der Laufzeit des zugrunde liegenden Hauptvertrags oder der jeweiligen Zusammenarbeit. Mit Beendigung des Hauptvertrags endet auch dieser Auftragsverarbeitungsvertrag, soweit keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.
§ 2 Gegenstand und Zweck der Verarbeitung
2.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Durchführung der vereinbarten Leistungen.
2.2 Die Verarbeitung kann insbesondere folgende Zwecke umfassen:
Bereitstellung digitaler Produkte
Bereitstellung von Onlinekursen und Mitgliederbereichen
Durchführung von Webinaren, Online-Terminen und Videokonferenzen
Kundenverwaltung
Bearbeitung von Anfragen
Versand von E-Mails und transaktionalen Nachrichten
Versand von Newslettern, soweit beauftragt
Zahlungs- und Bestellabwicklung
Rechnungsstellung
Bereitstellung von Checklisten, Formularen, Downloads oder Kursmaterialien
Support und Kundenkommunikation
technischer Betrieb von Website, Funnels, Kursplattform und E-Mail-Systemen
Analyse, Wartung, Fehlerbehebung und Sicherheit der eingesetzten Systeme
2.3 Die Verarbeitung umfasst insbesondere:
Erheben
Erfassen
Speichern
Ordnen
Strukturieren
Verwenden
Übermitteln
Auslesen
Abfragen
Abgleichen
Einschränken
Löschen
Vernichten
§ 3 Art der Daten und Kategorien betroffener Personen
3.1 Im Rahmen der Auftragsverarbeitung können insbesondere folgende personenbezogene Daten verarbeitet werden:
Vor- und Nachname
E-Mail-Adresse
Anschrift
Telefonnummer, sofern angegeben
Rechnungsdaten
Bestelldaten
Zahlungsdaten, soweit erforderlich
Vertragsdaten
Login- und Zugangsdaten
IP-Adresse
technische Zugriffsdaten
Browser- und Geräteinformationen
Nutzungsdaten
Kommunikationsdaten
Supportanfragen
Kurszugänge
Kursnutzung
Webinar- und Meetingdaten
Newsletter-Anmeldungen
Öffnungs- und Klickraten bei E-Mails
Formularinhalte
technische Protokoll- und Logdaten
3.2 Kategorien betroffener Personen können insbesondere sein:
Kundinnen und Kunden des Auftraggebers
Interessentinnen und Interessenten
Newsletter-Abonnentinnen und Abonnenten
Nutzerinnen und Nutzer von Onlinekursen
Teilnehmerinnen und Teilnehmer an Webinaren, Online-Terminen oder Beratungen
Käuferinnen und Käufer digitaler Produkte
Geschäftskontakte und Leads
Mitarbeitende, freie Mitarbeitende oder Beauftragte des Auftraggebers
3.3 Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO werden grundsätzlich nicht verarbeitet, es sei denn, dies ist ausdrücklich vereinbart und für die jeweilige Leistung erforderlich.
3.4 Soweit im Rahmen von Wellness-, Wechseljahres-, Gesundheits- oder Beratungsangeboten freiwillig Angaben zu persönlichen Lebensumständen, Wohlbefinden oder gesundheitlichen Themen gemacht werden, erfolgt die Verarbeitung nur im Rahmen der vereinbarten Leistung und unter Beachtung der geltenden Datenschutzanforderungen.
§ 4 Pflichten des Auftragnehmers
4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Verpflichtung zu einer abweichenden Verarbeitung besteht.
4.2 Weisungen können sich aus diesem Vertrag, aus dem Hauptvertrag oder aus späteren schriftlichen oder elektronisch dokumentierten Einzelweisungen ergeben.
4.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzrecht verstößt.
4.4 Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
4.5 Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
4.6 Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei:
Anfragen betroffener Personen
Auskunft, Berichtigung oder Löschung personenbezogener Daten
Einschränkung der Verarbeitung
Datenübertragbarkeit
Widerspruch gegen die Verarbeitung
Datenschutzverletzungen
Datenschutz-Folgenabschätzungen
Anfragen von Aufsichtsbehörden
4.7 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird.
4.8 Die Mitteilung über eine Datenschutzverletzung soll, soweit möglich, folgende Informationen enthalten:
Art der Datenschutzverletzung
betroffene Datenkategorien
betroffene Personengruppen
ungefähre Anzahl betroffener Personen
mögliche Folgen der Datenschutzverletzung
bereits ergriffene oder geplante Gegenmaßnahmen
Ansprechpartner für Rückfragen
4.9 Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die erforderlichen Informationen zum Nachweis der Einhaltung dieses Vertrags zur Verfügung.
§ 5 Unterauftragsnehmer
5.1 Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zur Einschaltung von Unterauftragsnehmern, soweit dies zur Erbringung der vereinbarten Leistungen erforderlich ist.
5.2 Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen, insbesondere über die beabsichtigte Hinzuziehung oder Ersetzung von Unterauftragsnehmern.
5.3 Der Auftraggeber kann dem Einsatz eines neuen Unterauftragsnehmers aus wichtigem datenschutzrechtlichem Grund widersprechen.
5.4 Der Auftragnehmer stellt sicher, dass mit eingesetzten Unterauftragsnehmern geeignete datenschutzrechtliche Vereinbarungen bestehen, soweit dies rechtlich erforderlich ist.
5.5 Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Einhaltung der datenschutzrechtlichen Pflichten durch eingesetzte Unterauftragsnehmer verantwortlich.
5.6 Aktuell eingesetzte Unterauftragsnehmer:
§ 6 Technische und organisatorische Maßnahmen
6.1 Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein, um personenbezogene Daten angemessen zu schützen.
6.2 Hierzu gehören insbesondere:
Schutz vor unbefugtem Zugriff
individuelle Benutzerkonten
sichere Passwörter
Zwei-Faktor-Authentifizierung, soweit verfügbar
Zugriffsbeschränkung auf erforderliche Personen
rollenbasierte Zugriffsrechte, soweit technisch möglich
verschlüsselte Datenübertragung
regelmäßige Backups durch eingesetzte Anbieter
Schutz vor Datenverlust
Schutz vor unbefugter Veränderung oder Löschung
Nutzung etablierter und datenschutzkonformer Anbieter
Abschluss erforderlicher Datenschutzvereinbarungen mit eingesetzten Anbietern
regelmäßige Überprüfung der eingesetzten Tools und Zugriffsrechte
Verfahren zur Bearbeitung von Datenschutzvorfällen
6.3 Der Auftragnehmer darf technische und organisatorische Maßnahmen weiterentwickeln, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
6.4 Die Maßnahmen dienen insbesondere der Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der eingesetzten Systeme und Dienste.
§ 7 Löschung und Rückgabe von Daten
7.1 Nach Beendigung des Hauptvertrags oder nach Weisung des Auftraggebers löscht der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt diese zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
7.2 Soweit technisch möglich, kann der Auftraggeber seine Daten vor Beendigung der Zusammenarbeit in einem gängigen Format exportieren oder eine Herausgabe verlangen.
7.3 Die Löschung oder Rückgabe erfolgt innerhalb einer angemessenen Frist nach Vertragsende, soweit keine gesetzlichen Pflichten oder berechtigten Nachweispflichten entgegenstehen.
7.4 Kopien und Sicherungen werden ebenfalls gelöscht, soweit dies technisch möglich und rechtlich zulässig ist.
7.5 Der Auftragnehmer bestätigt dem Auftraggeber die Löschung oder Rückgabe auf Anfrage in Textform.
§ 8 Kontrollrechte des Auftraggebers
8.1 Der Auftraggeber hat das Recht, die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen sowie der Bestimmungen dieses AVV zu überprüfen.
8.2 Der Auftragnehmer stellt dem Auftraggeber die hierfür erforderlichen Informationen in angemessenem Umfang zur Verfügung.
8.3 Inspektionen und Audits sind mit einer angemessenen Vorankündigungsfrist von mindestens 14 Tagen durchzuführen.
8.4 Inspektionen und Audits dürfen den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen.
8.5 Der Auftragnehmer kann den Nachweis der Einhaltung dieses Vertrags auch durch geeignete Unterlagen erbringen, insbesondere durch:
Anbieter-Dokumentationen
Datenschutzkonzepte
technische und organisatorische Maßnahmen
Zertifizierungen
Prüfberichte
AVV-Nachweise eingesetzter Anbieter
Nachweise über eingesetzte Unterauftragsnehmer
8.6 Geschäftsgeheimnisse sowie Rechte anderer Kunden und betroffener Personen sind bei Kontrollen zu wahren.
§ 9 Schlussbestimmungen
9.1 Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
9.2 Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
9.3 Es gilt das Recht der Bundesrepublik Deutschland.
9.4 Gerichtsstand ist, soweit zulässig, der Sitz des Auftragnehmers.
9.5 Bei Widersprüchen zwischen diesem AVV und sonstigen vertraglichen Regelungen gehen die datenschutzrechtlichen Bestimmungen dieses AVV vor, soweit es um die Verarbeitung personenbezogener Daten im Auftrag geht.