i-net software GmbH
Leipziger Platz 16
10117 Berlin, Germany
Abgeschlossen zwischen
<Auftraggeber>
nachstehend "Verantwortlicher" oder "Auftraggeber",
und der
i-net software GmbH, Leipziger Platz 16, D-10117 Berlin,
nachstehend "Auftragsverarbeiter" oder "Auftragnehmer", wie folgt:
(1) Dieser Vertrag zur Auftragsverarbeitung ist eine Ergänzung zur laufenden Geschäftsbeziehung und erlischt mit Ende dieser. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
(2) Gegenstand dieses Vertrages zur Auftragsverarbeitung ist die Durchführung folgender Aufgaben:
Support für ein oder mehrere vom Auftraggeber lizenzierte Software-Produkte der i-net software GmbH:
Eine gesonderte Produktauswahl ist nicht erforderlich; maßgeblich sind die im Rahmen der laufenden Geschäftsbeziehung lizenzierten Software-Produkte.
(3) Folgende Kategorien personenbezogener Daten werden verarbeitet:
(4) Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und nur auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedsstaates, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor Beginn der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Dies umfasst Tätigkeiten, die im Vertrag und ggf. in einer gesonderten Leistungsbeschreibung konkretisiert sind.
Der Auftraggeber und der Auftragnehmer sind jeweils selbst für die Einhaltung des geltenden Datenschutzrechts verantwortlich.
Der Auftraggeber bleibt für die Beurteilung der Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Beurteilung der Rechtmäßigkeit der Datenverarbeitung allein verantwortlich ("Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO).
(2) Die Weisungen werden durch einen laufenden Support- und Wartungsvertrag grundsätzlich festgelegt und können vom Auftraggeber danach durch einzelne Weisungen im Verlauf der Ticket-Kommunikation geändert, ergänzt oder ersetzt werden (Einzelweisung).
(1) Der Auftragnehmer darf personenbezogene Daten, die Gegenstand des Auftrags sind, nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a) DSGVO vor und dessen Voraussetzungen werden gewahrt.
(2) Der Auftragnehmer wird den Auftraggeber informieren, wenn nach seiner Auffassung eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. Der Auftragnehmer ist indessen nicht verpflichtet, eine umfassende rechtliche Prüfung durchzuführen. Der Auftraggeber trägt alle Mehrkosten, die dem Auftragnehmer durch eine zusätzliche oder abweichende Weisung entstehen, es sei denn, die Weisung ist erforderlich, um die geltenden gesetzlichen Anforderungen zu erfüllen.
(3) Der Auftragsverarbeiter hat für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zu errichten.
(4) Der Auftragsverarbeiter erklärt, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und ihrem Ausscheiden beim Auftragsverarbeiter aufrecht.
(5) Der Auftragnehmer hat technische und organisatorische Maßnahmen (TOM) zum angemessenen Schutz der personenbezogenen Daten des Auftraggebers zu treffen, die den Anforderungen des Art. 32 DSGVO genügen. Der Auftragnehmer hat insbesondere TOM zu treffen, gemessen am Risiko für die Rechte und Freiheiten der betroffenen Personen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer gewährleisten.
(6) Die Vertragsparteien haben die in Anlage 2 dieses Vertrages beschriebenen TOM vereinbart. Diese Aufstellung wird ferner über einen dauerhaft zugänglichen Link auf dem Datenschutz-Bereich der Website des Auftragnehmers bereitgestellt.
(7) Die Vertragsparteien sind sich darüber einig, dass die Umsetzung der beschriebenen TOM ein angemessenes Schutzniveau in Übereinstimmung mit der DSGVO gewährleistet und ausreichende Garantien zum Schutz der Rechte der betroffenen Person bietet. Die Beurteilung des angemessenen Schutzniveaus trägt dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie der für die betroffenen Personen unterschiedlichen Eintrittswahrscheinlichkeit und Schwere von Risiken gebührend Rechnung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Diese sowie Änderungen und Ergänzungen sind vom Auftragnehmer entsprechend zu dokumentieren und dem Auftraggeber auf Anfrage zur Kenntnis zu geben. Dabei darf das Sicherheitsniveau der zum Vertragsabschluss in Anlage 2 genannten Maßnahmen nicht unterschritten werden.
(8) Der Auftragnehmer unterstützt den Auftraggeber angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten TOM bei der Erfüllung der Anfragen und Ansprüche von betroffenen Personen gem. Kapitel III der DSGVO.
Wird ein entsprechender Antrag an den Auftragsverarbeiter gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Verantwortlichen der von ihm betriebenen Datenanwendung hält, leitet der Auftragsverarbeiter den Antrag unverzüglich an den Verantwortlichen weiter und teilt dies dem Antragsteller mit.
(9) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.
(10) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden in der Art und Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere nach Art. 33, 34 DSGVO, sowohl hinsichtlich des Umfangs als auch hinsichtlich der Frist nachkommen kann.
Eine Meldung von Datenschutzverletzungen muss mindestens enthalten:
Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, können diese ohne unangemessene weitere Verzögerung schrittweise zur Verfügung gestellt werden.
(11) Dem Verantwortlichen wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht zur Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind und Überprüfungen einschließlich Inspektionen zu ermöglichen und dazu beizutragen.
(12) Nach Beendigung des Auftrags gibt der Auftragnehmer sämtliche Daten, Datenträger und Dokumente, soweit sie vom Auftraggeber stammen oder diesem zur Verfügung zu stellen sind, auf Verlangen des Auftraggebers heraus oder löscht sie, sofern keine gesetzliche Aufbewahrungspflicht besteht. Bestehen gesetzliche oder vertragliche Aufbewahrungsfristen, erfolgt eine Sperrung der Daten bis zum Ablauf der Aufbewahrungsfrist; anschließend werden die Daten gelöscht. Der Auftragnehmer bestätigt dem Auftraggeber die Löschung auf Anfrage.
(1) Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw. des EWR durchgeführt.
(1) Der Auftragnehmer kann Sub-Auftragsverarbeiter hinzuziehen.
Die in Anlage 1 dieser Vereinbarung aufgeführten Subunternehmer gelten als genehmigt.
Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer Subunternehmer mit im Vertrag vereinbarten Verarbeitungen personenbezogener Daten beauftragt. Der Auftragnehmer wird mit diesen Subunternehmern im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.
Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
(2) Der Auftragnehmer darf weitere Subunternehmer nur unter folgenden Voraussetzungen einsetzen:
Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zum Einsatz von Subunternehmern. Der Auftragnehmer informiert den Auftraggeber vor Hinzuziehung oder Ersetzung eines Subunternehmers schriftlich bzw. per E-Mail. Der Auftraggeber kann der Hinzuziehung oder Ersetzung innerhalb einer angemessenen Frist von mindestens 14 Kalendertagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung als erteilt.
Für Notfallsituationen, z. B. bei dringendem Sicherheitsrisiko oder unvorhergesehenem Ausfall eines Subunternehmers, darf der Auftragnehmer einen Subunternehmer auch ohne Einhaltung der oben genannten Frist hinzuziehen oder ersetzen. In einem solchen Fall informiert der Auftragnehmer den Auftraggeber unverzüglich über die Änderung.
(3) Der Auftragnehmer stellt dem Auftraggeber eine aktuelle Liste aller eingesetzten Subunternehmer zur Verfügung. Diese Liste wird als Anlage 1 zum Vertrag beigefügt und wird ferner über einen dauerhaft zugänglichen Link auf dem Datenschutz-Bereich der Website des Auftragnehmers bereitgestellt.
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit an den Daten ausschließlich beim Auftraggeber als "Verantwortlicher" im Sinne der DSGVO liegt.
(2) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile einschließlich etwaiger Zusicherungen des Auftragnehmers bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
Die Vertragsparteien vereinbaren und gestatten der jeweils anderen Vertragspartei, Informationen aus dieser Vereinbarung zum Zweck der Abwehr von Ansprüchen Dritter und zum Zweck des Nachweises, dass die jeweilige Vertragspartei in keinerlei Hinsicht für den Umstand, durch den ein Schaden eingetreten ist, verantwortlich ist, zu nutzen.
(4) Es gilt deutsches Recht und Gerichtsstand Berlin.
Diese Vertragsfassung kann entweder elektronisch über das bereitgestellte Formular oder in Textform auf Basis dieser Fassung abgeschlossen werden.
Beim elektronischen Abschluss über das Formular erklärt der Absendende, zur Abgabe der Erklärung im Namen der Kundenorganisation berechtigt zu sein und den vorstehenden Vertragsbedingungen zuzustimmen. Der Auftragnehmer dokumentiert und speichert hierzu den Zeitpunkt des Abschlusses, die Kundenorganisation, die übermittelten Vertragsdaten, die abgegebenen Bestätigungen, die handelnde Person sowie die jeweils zugrunde gelegte Vertragsfassung.
Für den Abschluss in Textform kann diese Vertragsfassung als PDF genutzt werden.
| Name und Anschrift | Beschreibung der Teilleistungen | Ort der Datenverarbeitung |
|---|---|---|
| Hetzner Online GmbH, Industriestr. 25, D-91710 Gunzenhausen | • Cloud Server | Rechenzentrum in Deutschland |
| ↳ | • Managed Server | |
| ↳ | • Webhosting | |
| ↳ | Relevante Applikationen: | |
| ↳ | • i-net HelpDesk-Server | |
| ↳ | • Datenbank i-net HelpDesk | |
| ↳ | • Mailserver | |
| ↳ | • CRM-System | |
| IONOS SE, Elgendorfer Str. 57, D-56410 Montabaur | • AI Model Hub (DSGVO konform) | Rechenzentrum in Deutschland |
| ↳ | • LLM Hosting (DSGVO konform) | |
| ↳ | Relevante Applikationen: | |
| ↳ | • KI-Schnittstellen des i-net HelpDesk |
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i. S. d. Art. 32 DSGVO:
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Diese Maßnahmen gelten ausdrücklich auch für Tätigkeiten im Home Office oder in Coworking-Räumen etc.
Der Auftragnehmer trägt Sorge dafür, dass seine Büro- und Geschäftsräume grundsätzlich außerhalb der Büro- und Geschäftszeiten geschlossen sind.
Das Schlüsselmanagement erfolgt restriktiv (keine Ausgabe an Praktikanten, externe Dienstleister etc.) und wird protokolliert.
Besucher werden im CRM-System (Kunden) oder Terminkalender (Sonstige) protokolliert. Ausgenommen sind Angehörige von Mitarbeitern, Lieferanten, Boten oder langfristige Dienstleister (Steuerberater u. ä.).
Während der Büro- und Geschäftszeiten ist sichergestellt, dass Besucher oder sonstige Dritte sich nicht alleine in Räumen bewegen können, in denen sie Zugang zu personenbezogenen Daten erhalten könnten.
Das Reinigungspersonal wird im Vorfeld sorgfältig ausgewählt.
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Um Zugang zu IT-Systemen zu erhalten, müssen der Auftragnehmer und seine Beschäftigten über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden Benutzerprofile erstellt und entsprechende Benutzerberechtigungen von einem oder mehreren Administratoren vergeben.
Gestaffelte Passwortverwaltung unter Verwendung zertifizierter Systeme mit hohen Sicherheitsstandards durch Ende-zu-Ende-Verschlüsselung (AES-256-Bit), Zero-Knowledge-Architektur, Open-Source-Transparenz, Einhaltung von SOC 2 Typ II und SOC 3 Zertifizierungen, DSGVO-Konformität.
Passwörter müssen mindestens 8 Zeichen haben, dürfen aus keinem Wörterbuch o. ä. stammen und müssen mindestens eine Zahl oder ein Sonderzeichen enthalten.
Passwörter administrativer Accounts dürfen nicht aus Bequemlichkeit gespeichert werden (Browser, Network Shares, etc.).
Für die tägliche Arbeit dürfen keine administrativen Accounts verwendet werden.
Systeme sind so zu konfigurieren, dass Software nur mit administrativen Accounts installiert werden kann.
Passwörter von internen Accounts dürfen nicht für Internet Accounts recycelt werden.
Remote-Zugriffe auf IT-Systeme des Auftragnehmers bei Fernwartungen erfolgen aktuell über eine lizenzierte Fernwartungssoftware (GoToMeeting) inklusive Verwendung von End-to-End-SSL (Secure Sockets Layer) und AES-128-HMAC-SHA1 (Advanced Encryption Standard)-Verschlüsselung.
Alle Server und Client-Systeme, die bei der Erbringung von Leistungen für den Auftraggeber im Einsatz sind, sind durch Firewalls und Anti-Viren-Software geschützt, die gewartet und mit aktuellen Updates und Patches versorgt werden.
Bei Bedarf wird VPN-Technologie genutzt, z. B. bei Home-Office-Aktivitäten.
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Berechtigungen für IT-Systeme und Applikationen des Auftragnehmers werden nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen, zur Erbringung der vereinbarten Leistungen nutzen oder in der Entwicklung tätig sind.
Eine digital signierte HelpDesk-Software ist im Einsatz.
Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung nach DIN 66399 gewährleistet. Die Vernichtung wird protokolliert.
Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat.
Der Auftragnehmer wird Eingaben, Änderungen oder Löschungen von personenbezogenen Daten, die er im Auftrag des Auftraggebers durchführt, in geeigneter Weise dokumentieren, sofern nicht sichergestellt ist, dass das jeweilige IT-System selbst eine Protokollierung entsprechender Aktivitäten durchführt.
Auf Seiten des Auftragnehmers erfolgt eine Protokollierung der Eingabe, Änderung und Löschung von relevanten Daten im führenden Ticket-System.
Eine Nachvollziehbarkeit von Eingabe, Änderung und Löschung von relevanten Daten durch individuelle Benutzernamen (nicht Benutzergruppen) ist gewährleistet.
Formulare, von denen Daten in automatisierte Verarbeitungen übernommen worden sind, werden aufbewahrt.
Die Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten erfolgt auf Basis eines Berechtigungskonzepts.
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Eine Weitergabe von personenbezogenen Daten, die im Auftrag des Auftraggebers erfolgt, darf jeweils nur in dem Umfang erfolgen, wie und soweit dies mit dem Auftraggeber abgestimmt ist.
Die Nutzung von privaten Datenträgern ist dem Auftragnehmer im Zusammenhang mit der Auftragsverarbeitung für den Auftraggeber untersagt.
Es erfolgt für relevante Szenarien eine Nutzung von VPN-Tunneln.
Beim physischen Transport erfolgt eine sorgfältige Auswahl von Transportpersonal und -fahrzeugen sowie sicheren Transportbehältern/-verpackungen.
Eine PGP-Verschlüsselung im Mailverkehr via i-net HelpDesk kann optional erfolgen.
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Eine Beauftragung von Unterauftragnehmern erfolgt nur im Rahmen der Regelung des Vertrages zur Auftragsverarbeitung.
Eine prozessgebundene Einweisung und Verpflichtung sämtlicher Mitarbeiter hinsichtlich des Datenschutzes erfolgt.
Eine Vernichtung bzw. Rückgabe von Daten nach Beendigung des Auftrags erfolgt wie im Vertragshaupttext beschrieben.
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Soweit der Auftragnehmer personenbezogene Daten vom Auftraggeber im Zusammenhang mit der Auftragsverarbeitung erhält, wird er diese getrennt von Daten anderer Kunden verarbeiten (z. B. eigener Ticket-Datensatz im HelpDesk-System, keine kundenübergreifenden Remote-Sessions etc.).
Es erfolgt eine Trennung von Test- und Produktivsystemen mit Bezug zu personenbezogenen Daten des Auftraggebers.
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Ein Backup- & Recoverykonzept sowie Notfallplan liegt vor.
Es werden zyklisch Tests zur Datenwiederherstellung durchgeführt.
Datensicherungen werden an einem sicheren, ausgelagerten Ort aufbewahrt.
Maßnahmen, die gewährleisten, dass eine langfristige Zusammenarbeit zwischen Auftraggeber und Auftragnehmer im Sinne der DSGVO gewährleistet ist.
Der Auftragnehmer trägt durch Richtlinien und/oder Anweisungen an die Beschäftigten dazu bei, dass eine Verarbeitung personenbezogener Daten in einer Weise gewährleistet ist, die den Anforderungen der DSGVO entspricht.
Dies beinhaltet insbesondere eine regelmäßige Überprüfung der Wirksamkeit der getroffenen Maßnahmen zum Schutz personenbezogener Daten und ggf. deren Anpassung.
Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Beschäftigten erkannt und unverzüglich dem Auftraggeber gemeldet werden, wenn dies Daten betrifft, die im Rahmen der Auftragsverarbeitung für den Auftraggeber verarbeitet werden.
Es ist sichergestellt, dass ausschließlich DSGVO-konforme KI-Anbieter oder -Portale Verwendung finden.
Die TOM der in Anlage 1 aufgeführten Subunternehmer sind über folgende Links verfügbar (Stand 17.04.2026):
Stand dieser Vertragsfassung: 20.04.2026