Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO für die Nutzung der Anwendung AXIS
Stand: Juni 2026
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag" oder „AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Nutzung der Software-as-a-Service-Anwendung „AXIS" im Rahmen des zwischen den Parteien geschlossenen Nutzungsvertrages (nachfolgend „Hauptvertrag") ergeben.
Er gilt für alle Tätigkeiten, bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer beauftragte Unterauftragnehmer personenbezogene Daten des Auftraggebers verarbeiten.
Vertragsparteien:
Auftraggeber (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO): der Kunde, der AXIS gemäß dem Hauptvertrag nutzt.
Auftragnehmer (Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO):
Abdullahi Omar Abubakar, handelnd unter „byabdalla", Auf dem Hilkenhohl 2, 59067 Hamm, Deutschland.
Mit Annahme dieses AVV im Rahmen der Registrierung oder durch die Nutzung von AXIS kommt dieser Vertrag zwischen dem Auftraggeber und dem Auftragnehmer zustande.
§ 1 Gegenstand und Dauer des Auftrags
(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung und des Betriebs von AXIS gemäß dem Hauptvertrag.
(2) Die Dauer dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Eine Kündigung des Hauptvertrages gilt zugleich als Kündigung dieses Vertrages. Eine isolierte Kündigung dieses Vertrages ist nicht möglich.
§ 2 Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen
(1) Art und Zweck der Verarbeitung: Der Auftragnehmer verarbeitet personenbezogene Daten des Auftraggebers ausschließlich zum Zweck der vertragsgemäßen Bereitstellung der Funktionen von AXIS. Dies umfasst insbesondere das Speichern, Auslesen, Anzeigen, Verändern, Übermitteln (z. B. PDF-Erstellung, E-Mail-Versand im Auftrag) und Löschen der vom Auftraggeber eingestellten Daten.
(2) Art der personenbezogenen Daten: Im Rahmen der Nutzung von AXIS können insbesondere folgende Arten personenbezogener Daten verarbeitet werden:
- Stammdaten (z. B. Namen, Anschriften, Kunden- und Lieferantennummern),
- Kontaktdaten (z. B. E-Mail-Adressen, Telefonnummern),
- Vertrags- und Abrechnungsdaten (z. B. Angebote, Aufträge, Rechnungen, Zahlungen, Mahnungen),
- steuer- und handelsrechtlich relevante Daten (z. B. Steuernummern, Umsatzsteuer-Identifikationsnummern),
- Projekt-, Aufgaben- und Zeiterfassungsdaten,
- Inhalts- und Kommunikationsdaten (z. B. Notizen, Kommentare, versendete Dokumente),
- Nutzungs- und Protokolldaten der vom Auftraggeber angelegten Benutzer.
(3) Kategorien betroffener Personen:
- Kunden und Interessenten des Auftraggebers,
- Lieferanten und Geschäftspartner des Auftraggebers,
- Ansprechpartner der vorgenannten Personen,
- Beschäftigte und Mitarbeiter des Auftraggebers (Benutzer von AXIS),
- sonstige Personen, deren Daten der Auftraggeber in AXIS einstellt.
(4) Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO sind nicht Gegenstand der Verarbeitung, es sei denn, der Auftraggeber stellt solche Daten eigenständig ein. In diesem Fall ist der Auftraggeber für die Zulässigkeit der Verarbeitung allein verantwortlich.
§ 3 Weisungsrecht des Auftraggebers
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers, es sei denn, er ist zur Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Die Weisungen werden zunächst durch den Hauptvertrag und diesen AVV festgelegt und können vom Auftraggeber danach in Textform geändert, ergänzt oder ersetzt werden. Die Nutzung der Funktionen von AXIS durch den Auftraggeber gilt als Einzelweisung.
(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wird.
§ 4 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zu den vertraglich vereinbarten Zwecken und im vereinbarten Umfang.
(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragnehmer ergreift die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (Anlage 1).
(4) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten zur Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten.
(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer unterstützt den Auftraggeber bei dessen Pflichten gemäß Art. 33 und 34 DSGVO (Meldung an die Aufsichtsbehörde, Benachrichtigung betroffener Personen).
(6) Der Auftragnehmer benennt als Ansprechpartner für Datenschutzangelegenheiten: support@getaxis.de.
§ 5 Technische und organisatorische Maßnahmen
(1) Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO und hält diese während der Vertragslaufzeit ein.
(2) Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer ist berechtigt, alternative, angemessene Maßnahmen umzusetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird.
§ 6 Unterauftragsverhältnisse
(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragnehmer) zur Erbringung des Dienstes hinzuzuziehen.
(2) Zum Zeitpunkt des Vertragsschlusses setzt der Auftragnehmer die in Anlage 2 aufgeführten Unterauftragnehmer ein. Der Auftraggeber stimmt deren Einsatz zu.
(3) Der Auftragnehmer stellt durch vertragliche Vereinbarungen sicher, dass die Unterauftragnehmer dieselben Datenschutzpflichten einhalten, wie sie in diesem Vertrag festgelegt sind, insbesondere die Gewährleistung hinreichender Garantien für geeignete technische und organisatorische Maßnahmen.
(4) Beabsichtigt der Auftragnehmer, einen Unterauftragnehmer hinzuzuziehen oder einen bestehenden zu ersetzen, informiert er den Auftraggeber hierüber in Textform (z. B. per E-Mail oder durch Aktualisierung der Liste innerhalb des Dienstes) mit einer angemessenen Vorlauffrist. Der Auftraggeber kann einer beabsichtigten Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von zwei Wochen nach Zugang der Information widersprechen. Im Falle eines berechtigten Widerspruchs sind beide Parteien berechtigt, den Hauptvertrag mit angemessener Frist zu kündigen, sofern keine einvernehmliche Lösung gefunden wird.
(5) Eine Übermittlung personenbezogener Daten an Unterauftragnehmer in Drittländern erfolgt nur unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO (siehe Anlage 2).
§ 7 Rechte der betroffenen Personen
(1) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten dabei, den Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nachzukommen.
(2) Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, leitet dieser das Ersuchen unverzüglich an den Auftraggeber weiter, sofern erkennbar ist, dass sich das Ersuchen auf Daten des Auftraggebers bezieht. Der Auftragnehmer beantwortet derartige Ersuchen nicht selbst, es sei denn, er wurde vom Auftraggeber hierzu angewiesen.
§ 8 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen sowie der Pflichten aus diesem Vertrag zu überzeugen.
(2) Der Auftragnehmer weist die Einhaltung der Pflichten in der Regel durch geeignete Nachweise nach, etwa durch aktuelle Bescheinigungen, Zertifizierungen, Testate unabhängiger Stellen oder eine geeignete Dokumentation der getroffenen Maßnahmen.
(3) Sofern im Einzelfall Vor-Ort-Kontrollen erforderlich sind, werden diese mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs durchgeführt. Der Auftragnehmer kann die Durchführung von der vorherigen Anmeldung mit angemessener Frist sowie von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden abhängig machen.
§ 9 Löschung und Rückgabe von Daten
(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten oder gibt sie zurück, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
(2) AXIS stellt dem Auftraggeber während der Vertragslaufzeit sowie innerhalb einer angemessenen Frist nach Vertragsende Funktionen zum Export seiner Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung. Der Auftraggeber ist selbst dafür verantwortlich, einen solchen Export rechtzeitig vorzunehmen.
(3) Nach Ablauf einer angemessenen Übergangs- und Sicherungsfrist nach Vertragsende werden die Daten des Auftraggebers gelöscht. Bestehende Sicherungskopien (Backups) werden im Rahmen der üblichen Backup-Zyklen automatisch überschrieben und gelöscht.
§ 10 Haftung
(1) Für die Haftung der Parteien gelten die Regelungen des Hauptvertrages sowie Art. 82 DSGVO.
(2) Der Auftraggeber ist im Verhältnis der Parteien zueinander für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen verantwortlich (Art. 4 Nr. 7, Art. 24 DSGVO).
§ 11 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlicher Hinsicht vor.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
Anlage 1 — Technische und organisatorische Maßnahmen (TOM)
gemäß Art. 32 DSGVO
1. Vertraulichkeit
Zutrittskontrolle: Die Server werden in Rechenzentren des Hosting-Dienstleisters (Hetzner Online GmbH) in Deutschland betrieben. Diese verfügen über umfassende physische Zutrittssicherungen (u. a. Zutrittskontrollsysteme, Videoüberwachung, Sicherheitspersonal). Der Auftragnehmer selbst unterhält keine eigenen Serverräume.
Zugangskontrolle: Der Zugang zu den Systemen erfolgt ausschließlich über individuelle, persönliche Benutzerkonten mit starker Authentifizierung. Passwörter werden ausschließlich in gehashter Form (argon2) gespeichert. Für administrative Zugänge wird, soweit möglich, eine Zwei-Faktor-Authentifizierung eingesetzt. Der Zugriff erfolgt verschlüsselt.
Zugriffskontrolle: Es besteht ein rollen- und rechtebasiertes Berechtigungskonzept (Need-to-know-Prinzip). In AXIS verfügt jeder Mandant über eine logisch getrennte Datenhaltung; Benutzer eines Mandanten können ausschließlich auf die Daten ihres eigenen Mandanten zugreifen. Berechtigungen werden über ein granulares Rollen- und Rechtesystem gesteuert.
Trennungskontrolle: Die Daten unterschiedlicher Auftraggeber (Mandanten) werden logisch voneinander getrennt verarbeitet (Mandantentrennung). Test- und Produktivumgebungen sind getrennt.
Pseudonymisierung / Verschlüsselung: Die Datenübertragung erfolgt durchgehend transportverschlüsselt (TLS). Zugangsdaten werden verschlüsselt bzw. gehasht gespeichert.
2. Integrität
Weitergabekontrolle: Eine Übertragung personenbezogener Daten erfolgt ausschließlich verschlüsselt (TLS). Der Versand von E-Mails im Auftrag des Auftraggebers erfolgt über einen vertraglich gebundenen Dienstleister.
Eingabekontrolle: Wesentliche Verarbeitungsvorgänge in AXIS werden protokolliert (Änderungsprotokolle / Audit-Log), sodass nachvollziehbar ist, durch welchen Benutzer welche Daten zu welchem Zeitpunkt eingegeben, verändert oder gelöscht wurden.
3. Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle: Es werden regelmäßige, automatisierte Sicherungen (Backups) erstellt. Die Backups werden verschlüsselt gespeichert. Es bestehen Maßnahmen zum Schutz vor Datenverlust sowie Maßnahmen zur Abwehr von Angriffen (u. a. Firewalls, Zugriffsbeschränkungen).
Rasche Wiederherstellbarkeit: Im Falle eines physischen oder technischen Zwischenfalls können Daten aus den vorhandenen Sicherungen wiederhergestellt werden.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Datenschutz-Management: Die getroffenen Maßnahmen werden regelmäßig überprüft und an den Stand der Technik angepasst.
Auftragskontrolle: Mit eingesetzten Unterauftragnehmern werden Auftragsverarbeitungsverträge geschlossen, die ein angemessenes Datenschutzniveau sicherstellen.
Datenschutzfreundliche Voreinstellungen (Privacy by Default / by Design): Bei der Entwicklung von AXIS werden datenschutzfreundliche Grundeinstellungen sowie eine datensparsame Verarbeitung berücksichtigt.
Anlage 2 — Liste der Unterauftragnehmer
Stand: Juni 2026
| Unterauftragnehmer | Leistung | Sitz | Datenstandort | Drittlandgarantie |
|---|---|---|---|---|
| Hetzner Online GmbH | Hosting / Server-Infrastruktur | Deutschland | Deutschland / EU | entfällt (EU) |
| Cloudron | Betriebs- und Verwaltungsplattform (Self-Hosting auf Hetzner-Infrastruktur) | EU | Deutschland | entfällt (EU) |
| Nextcloud (AXIS Cloud) | Dateiablage (Self-Hosting auf Hetzner-Infrastruktur) | Deutschland | Deutschland | entfällt (EU) |
| Resend, Inc. | E-Mail-Versanddienst | USA | USA | Standardvertragsklauseln / EU-US Data Privacy Framework |
| Lemon Squeezy LLC | Zahlungsabwicklung (Merchant of Record) | USA | USA | Standardvertragsklauseln / EU-US Data Privacy Framework |
| Functional Software, Inc. d/b/a Sentry | Fehler- und Absturzüberwachung der Anwendung | USA | EU / Deutschland | Standardvertragsklauseln / EU-US Data Privacy Framework |
Eine aktualisierte Fassung dieser Liste wird dem Auftraggeber im Rahmen des Dienstes oder auf Anfrage zur Verfügung gestellt. Änderungen werden gemäß § 6 dieses Vertrages mitgeteilt.
byabdalla — Abdullahi Omar Abubakar Auf dem Hilkenhohl 2, 59067 Hamm, Deutschland E-Mail: support@getaxis.de