Ab 49 € versandkostenfrei (D)
DHL GoGreen: Versand in 1 - 3 Werktagen
Datenschutz · Art. 28 DSGVO

Auftragsverarbeitungsvertrag

Zwischen der Thomas Karlowitsch Gebäudereinigungsservice GmbH als Auftragsverarbeiter und dem Auftraggeber als Verantwortlichem

Auftragsverarbeiter
TK Gebäudereinigung
Firma Thomas Karlowitsch Gebäudereinigungsservice GmbH
Geschäftsführer Thomas Karlowitsch
Adresse Heerstr. 20, 21702 Ahlerstedt-Oersdorf
E-Mail [E-Mail geschützt]
Verantwortlicher (Auftraggeber)
Auftraggeber
Firma Wie im Dienstleistungsvertrag angegeben
Adresse Wie im Dienstleistungsvertrag angegeben
Funktion Hausverwaltung, Gebäudeeigentümer o.ä.
Präambel

Vorbemerkung

Diese Vereinbarung regelt die Rechte und Pflichten von Auftraggeber (Verantwortlicher) und Auftragnehmer (Auftragsverarbeiter) im Rahmen der sich aus dem Dienstleistungsvertrag ergebenden Verarbeitung von personenbezogenen Daten im Auftrag.

Der Vertrag findet auf alle Tätigkeiten Anwendung, bei denen die Thomas Karlowitsch Gebäudereinigungsservice GmbH oder durch sie beauftragte Unterauftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeiten. Ziel ist die Sicherstellung, dass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte der betroffenen Personen gewährleistet.

§ 1

Parteien und Gegenstand

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen der Thomas Karlowitsch Gebäudereinigungsservice GmbH als Auftragsverarbeiter und dem Auftraggeber (nachfolgend „Verantwortlicher“), der Gebäudereinigungsdienstleistungen beauftragt hat.

Der Auftragsverarbeiter erbringt Dienstleistungen im Bereich der Gebäudereinigung (Unterhaltsreinigung, Grundreinigung, Sonderreinigung, Glasreinigung). Im Rahmen dieser Leistungserbringung erhält er Zugang zu personenbezogenen Daten des Verantwortlichen und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Verantwortlichen.

Die Zustimmung zu diesem AVV erfolgt durch Unterzeichnung oder durch digitale Bestätigung im Rahmen des Dienstleistungsvertrags. Diese Zustimmung gilt als rechtsverbindlich gemäß Art. 28 Abs. 9 DSGVO (Textform).
§ 2

Gegenstand, Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten zum Zweck der Erbringung von Gebäudereinigungsdienstleistungen, insbesondere für:

  • Planung und Durchführung von Unterhalts-, Grund- und Sonderreinigungen
  • Koordination von Reinigungspersonal und Einsatzplanung
  • Zugang zu Gebäuden und Räumlichkeiten (Schlüsselverwaltung, Zugangscodes)
  • Kommunikation mit Mietern, Hausmeistern und Ansprechpartnern vor Ort
  • Abrechnung und Dokumentation der erbrachten Leistungen

Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union. Eine Verarbeitung in Drittländern findet nicht statt.

§ 3

Art der Daten und Kategorien betroffener Personen

3.1 Verarbeitete Datenkategorien

  • Stammdaten: Name, Anschrift und Kontaktdaten von Mietern, Eigentümern und Ansprechpartnern
  • Zugangsdaten: Schlüsselnummern, Zugangscodes, Türcodes, Alarmanlagendaten
  • Kontaktdaten: Telefonnummern und E-Mail-Adressen von Ansprechpartnern vor Ort
  • Objektdaten: Adressen, Gebäudepläne, Raum- und Flächenverzeichnisse
  • Abrechnungsdaten: Leistungsnachweise, Rechnungsdaten, Zahlungsinformationen
  • Einsatzdaten: Reinigungspläne, Zeitprotokolle, Einsatzberichte

3.2 Kategorien betroffener Personen

  • Mieter und Bewohner der zu reinigenden Objekte
  • Eigentümer und Vermieter
  • Mitarbeiter der Hausverwaltung
  • Hausmeister und sonstige Ansprechpartner vor Ort
§ 4

Pflichten des Auftragsverarbeiters

4.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die im Dienstleistungsvertrag beschriebenen Tätigkeiten gelten als Weisung. Sollte eine Weisung gegen geltendes Recht verstoßen, wird der Verantwortliche unverzüglich informiert.

4.2 Vertraulichkeit

Alle mit der Verarbeitung beauftragten Personen – insbesondere das Reinigungspersonal – sind zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht. Dies gilt auch nach Beendigung des Vertragsverhältnisses. Zugangsdaten (Schlüssel, Codes) werden ausschließlich für die Durchführung der beauftragten Reinigungsleistungen verwendet.

4.3 Technische und organisatorische Maßnahmen (TOMs)

Sichere AufbewahrungSchlüssel und Zugangsdaten werden in abschließbaren Schlüsselkästen/-tresoren verwahrt

Verschlüsselte ÜbertragungTLS/HTTPS für alle digitalen Datenübertragungen

ZugriffskontrollePersonenbezogene Daten nur für berechtigte Mitarbeiter zugänglich

DatensicherungRegelmäßige Backups aller digital gespeicherten Daten

VertraulichkeitsverpflichtungAlle Mitarbeiter schriftlich zur Vertraulichkeit verpflichtet

Regelmäßige PrüfungÜberprüfung und Aktualisierung der Schutzmaßnahmen

4.4 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO sowie bei der Beantwortung von Betroffenenanfragen gemäß Art. 15–22 DSGVO, soweit technisch möglich und zumutbar.

4.5 Löschung und Rückgabe

Nach Beendigung des Dienstleistungsvertrags werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Schlüssel und physische Zugangsmittel werden unverzüglich zurückgegeben. Auf Anfrage werden die Daten zuvor in einem gängigen Format zum Export bereitgestellt.

4.6 Meldung von Datenschutzverletzungen

Verletzungen des Schutzes personenbezogener Daten werden dem Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, per E-Mail gemeldet – mit Angabe von Art, Umfang, betroffenen Datenkategorien sowie ergriffenen Maßnahmen.

§ 5

Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung in seinem Bereich zuständig. Er stellt insbesondere sicher, dass:

  • die Übermittlung personenbezogener Daten an den Auftragsverarbeiter auf einer Rechtsgrundlage nach Art. 6 DSGVO beruht,
  • Betroffene (z. B. Mieter) über die Weitergabe ihrer Daten an den Reinigungsdienstleister informiert werden,
  • Anfragen betroffener Personen fristgerecht bearbeitet werden,
  • die übermittelten Daten korrekt und aktuell sind,
  • er selbst die datenschutzrechtlichen Pflichten als Verantwortlicher erfüllt.
§ 6

Unterauftragsverarbeiter

Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter einzusetzen. Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für deren Einsatz gemäß der nachstehenden Liste.

Über geplante Änderungen (Hinzufügung oder Wechsel von Unterauftragsverarbeitern) wird der Verantwortliche mit einer Frist von 6 Wochen per E-Mail informiert. Der Verantwortliche kann der Änderung innerhalb von 2 Wochen aus wichtigem Grund widersprechen. Erfolgt kein Widerspruch, gilt die Zustimmung als erteilt. Alle Unterauftragsverarbeiter werden vertraglich zu denselben Datenschutzpflichten verpflichtet wie der Auftragsverarbeiter selbst.

Anlage 2: Liste der Unterauftragsverarbeiter

Nr. Firma Anschrift Land Leistung
1 neue Medien Münnich GmbH
(All-Inkl.com)		 Hauptstraße 68, 02742 Friedersdorf, Deutschland Deutschland Hosting / Rechenzentrumsbetrieb (Server in Deutschland)
2 Stripe Payments Europe, Ltd. 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland EU (Irland) Zahlungsabwicklung
3 PayPal (Europe) S.à r.l. et Cie, S.C.A. 22-24 Boulevard Royal, L-2449 Luxemburg EU (Luxemburg) Zahlungsabwicklung

Alle in dieser Liste genannten Unterauftragsverarbeiter verarbeiten Daten innerhalb der Europäischen Union. Eine Datenverarbeitung in Drittländern findet nicht statt.

§ 7

Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der Datenschutzvorschriften beim Auftragsverarbeiter zu kontrollieren, insbesondere durch:

  • schriftliche Anfragen und Dokumentationsanforderungen,
  • Vorlage aktueller Zertifikate oder Prüfberichte,
  • angekündigte Vor-Ort-Prüfungen nach Terminvereinbarung (max. einmal jährlich, Kosten trägt der Verantwortliche).

Der Auftragsverarbeiter stellt alle erforderlichen Informationen zur Verfügung, die zum Nachweis der Einhaltung seiner Pflichten gemäß Art. 28 DSGVO benötigt werden.

§ 8

Laufzeit und Kündigung

Dieser AVV gilt ab dem Zeitpunkt der Unterzeichnung des Dienstleistungsvertrags und läuft parallel zur vertraglichen Hauptbeziehung. Er endet automatisch mit Beendigung des Dienstleistungsvertrags.

Eine vorzeitige Kündigung dieses AVV ist nicht möglich, solange der Hauptvertrag besteht. Bei schwerwiegenden Datenschutzverstößen kann jede Partei das Vertragsverhältnis aus wichtigem Grund fristlos kündigen.

§ 9

Haftung

Die Haftung der Parteien richtet sich nach den allgemeinen gesetzlichen Vorschriften sowie nach Art. 82 DSGVO. Im Innenverhältnis haften der Verantwortliche und der Auftragsverarbeiter entsprechend ihrem jeweiligen Verschulden an einem Schaden gegenüber betroffenen Personen.

§ 10

Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Stade, soweit gesetzlich zulässig.

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen nicht.

Änderungen und Ergänzungen bedürfen der Textform (E-Mail genügt). Bei wesentlichen Änderungen informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig.

Unterschriften

Dieser AVV wird durch beiderseitige Unterzeichnung oder durch digitale Bestätigung im Rahmen des Dienstleistungsvertrags wirksam.

Thomas Karlowitsch Gebäudereinigungsservice GmbH (Auftragsverarbeiter)
Ort, Datum, Unterschrift
Auftraggeber / Verantwortlicher
Ort, Datum, Unterschrift
Anlage 1

Technisch-organisatorische Maßnahmen (TOMs)

Zur Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten gemäß Art. 32 DSGVO setzt die Thomas Karlowitsch Gebäudereinigungsservice GmbH insbesondere folgende Maßnahmen um:

Vertraulichkeit

Zutrittskontrolle

  • Geschäftsräume mit Schließanlage gesichert
  • Schlüssel und Zugangsdaten der Kunden in abschließbaren Schlüsselschränken verwahrt
  • Besucher nur in Begleitung autorisierter Mitarbeiter

Zugangskontrolle

  • Passwortschutz für alle Datenverarbeitungssysteme
  • Definierter Freigabeprozess für Zugriffsrechte
  • Einsatz von Firewalls und Virenscannern
  • Automatische Bildschirmsperre nach Inaktivität

Zugriffskontrolle

  • Zugriff auf Kundendaten nur für berechtigte Mitarbeiter
  • Need-to-Know-Prinzip: Berechtigungen nur im notwendigen Umfang
  • Protokollierung aller Zugriffe auf sensible Daten

Trennungskontrolle

  • Kundendaten werden getrennt voneinander gespeichert
  • Keine Vermischung von Daten verschiedener Auftraggeber

Integrität

Weitergabekontrolle

  • Verschlüsselte Datenübertragung via TLS/HTTPS
  • E-Mail-Verschlüsselung für sensible Daten
  • Physische Dokumente nur per persönlicher Übergabe oder gesichertem Postweg

Eingabekontrolle

  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Nachvollziehbarkeit von Änderungen durch individuelle Benutzernamen

Verfügbarkeit

  • Regelmäßige Backups aller digital gespeicherten Kundendaten
  • Dokumentiertes Verfahren zur Wiederherstellung von Datenbeständen
  • Redundante Auslegung kritischer Systeme beim Hosting-Anbieter (All-Inkl.com)

Auftragskontrolle

  • Vorherige Prüfung der Sicherheitsmaßnahmen aller Unterauftragsverarbeiter
  • Auswahl unter Sorgfaltsgesichtspunkten (Datenschutz und Datensicherheit)
  • Abschluss von AVV-Vereinbarungen mit allen Unterauftragsverarbeitern
Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragsverarbeiter ist berechtigt, alternative adäquate Maßnahmen umzusetzen, sofern das bestehende Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert und dem Verantwortlichen unverzüglich mitgeteilt.
Thomas Karlowitsch Gebäudereinigungsservice GmbH · Auftragsverarbeitungsvertrag · Version 1.0 · Stand März 2026
Bei Fragen zum Datenschutz: [E-Mail geschützt]