Auftragsverarbeitungsvertrag (AVV)
Stand: Juni 2026 · gemäß Art. 28 DSGVO
Hinweis: Dieser AVV ist ein Entwurf zur Information und wird vor der finalen Einbeziehung anwaltlich geprüft. Eine unterschriftsreife Fassung stellen wir auf Anfrage zur Verfügung.
Dieser Vertrag wird geschlossen zwischen dem Kunden (nachfolgend „Verantwortlicher") und der SourcingBlox GmbH, Artur-Landgraf-Str. 70, 96049 Bamberg (nachfolgend „Auftragsverarbeiter") und konkretisiert die datenschutzrechtlichen Pflichten im Rahmen der Nutzung von CentaurNexus.
1. Gegenstand und Dauer
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen (Bereitstellung und Betrieb von CentaurNexus). Die Dauer entspricht der Laufzeit des Hauptvertrags.
2. Art, Umfang und Zweck
Die Verarbeitung umfasst das Erheben, Speichern, Auslesen, Anzeigen und Löschen von Daten, die zur Administration der Zscaler-Umgebung des Verantwortlichen erforderlich sind. Zweck ist die vom Verantwortlichen gesteuerte Nutzung der Plattform.
3. Kategorien betroffener Personen und Daten
Betroffene Personen sind insbesondere Mitarbeitende und Nutzer des Verantwortlichen. Datenkategorien können u. a. sein: Benutzer- und Kontaktdaten, Geräte- und Verbindungsinformationen, Zugriffs- und Richtlinieninformationen sowie Protokolldaten – jeweils nach Maßgabe der vom Verantwortlichen genutzten Funktionen.
4. Weisungsrecht
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.
5. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft geeignete Maßnahmen nach Art. 32 DSGVO, insbesondere:
- TLS-Verschlüsselung der Datenübertragung
- AES-256-GCM-Verschlüsselung sensibler Felder
- Mandantentrennung auf Datenbankebene (Row-Level Security)
- Rollen- und Rechtekonzept nach dem Least-Privilege-Prinzip
- Lückenloser Audit-Trail sicherheitsrelevanter Aktionen
- Hosting in Rechenzentren in Deutschland (STACKIT)
6. Unterauftragsverarbeiter
Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter. Über beabsichtigte Änderungen informiert der Auftragsverarbeiter vorab; der Verantwortliche kann begründet widersprechen.
| Dienstleister | Zweck | Ort |
|---|---|---|
| STACKIT (Schwarz IT) | Hosting / Infrastruktur | Deutschland (EU) |
| Brevo (Sendinblue GmbH) | Transaktions-/Bestätigungs-E-Mails | EU |
7. Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung etc.) sowie bei Datenschutz-Folgenabschätzungen und Meldepflichten.
8. Meldung von Verletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt bei den erforderlichen Maßnahmen.
9. Löschung und Rückgabe
Nach Abschluss der Leistungen löscht der Auftragsverarbeiter die Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
10. Nachweise und Kontrollen
Der Auftragsverarbeiter weist die Einhaltung der Pflichten auf Anfrage nach und ermöglicht Überprüfungen in angemessenem Rahmen, gegebenenfalls auch durch geeignete Zertifikate oder Prüfberichte.