Auftragsverarbeitungsvertrag (AVV)
Hinweis
Diese Vorlage des Auftragsverarbeitungsvertrags (AVV) gilt zwischen dem Anbieter von PakPruvo und dem jeweiligen Mandanten (Kunde), sofern der Mandant über PakPruvo personenbezogene Daten im Sinne der DSGVO verarbeitet.
Mit Registrierung und Nutzung eines kostenpflichtigen oder unentgeltlichen Mandanten-Kontos akzeptiert der Kunde diese AVV-Vorlage zusammen mit den AGB, sofern personenbezogene Daten verarbeitet werden. Für eine individualisierte oder unterzeichnete Fassung wenden Sie sich an contact@pakpruvo.eu.
Stand: Juni 2026. Diese Seite kann ausgedruckt oder archiviert werden.
1. Parteien und Gegenstand
Verantwortlicher (Auftraggeber): der jeweilige Mandant, der PakPruvo nutzt, in der bei Registrierung angegebenen Rechtsform und unter der dort hinterlegten Anschrift.
Auftragsverarbeiter (Auftragnehmer): dmv daten- und medienverarbeitung, Inhaberin Beate Zöllner, In der Esmecke 31, 59846 Sundern, E-Mail: contact@pakpruvo.eu.
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen bei Nutzung des SaaS-Dienstes PakPruvo unter pakpruvo.eu. Einzelheiten ergeben sich aus Anlage 1.
2. Dauer
Dieser AVV gilt für die Dauer des Hauptvertrags (Nutzungsvertrag/AGB) über PakPruvo. Er endet automatisch mit Beendigung des Hauptvertrags, ohne dass es einer gesonderten Kündigung bedarf.
Nach Vertragsende gelten die Regelungen zur Löschung und Rückgabe gemäß Abschnitt 10.
3. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Ein Überblick ist in Anlage 3 beschrieben.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Abschnitt 8), bei Meldungen von Datenschutzverletzungen (Abschnitt 9) und — soweit erforderlich — bei Datenschutz-Folgenabschätzungen und Konsultationen.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, eine Weisung verstoße gegen Datenschutzvorschriften.
4. Pflichten des Verantwortlichen
Der Verantwortliche ist allein dafür verantwortlich, dass die Verarbeitung personenbezogener Daten in PakPruvo auf einer gültigen Rechtsgrundlage beruht und dass Weisungen an den Auftragsverarbeiter rechtmäßig sind.
Der Verantwortliche stellt sicher, dass er zur Nutzung des Dienstes berechtigt ist und seine Nutzer entsprechend verpflichtet. Er informiert den Auftragsverarbeiter unverzüglich über Beschwerden, Behördenanfragen oder Rechtsstreitigkeiten, soweit sie die gemeinsame Verarbeitung betreffen.
Der Verantwortliche dokumentiert im Rahmen seiner Organisationspflichten, welche Kategorien personenbezogener Daten und betroffener Personen er über PakPruvo verarbeitet.
5. Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen und gibt dem Verantwortlichen die Möglichkeit, innerhalb angemessener Frist Einspruch zu erheben.
Aktuell eingesetzte Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. Für Unterauftragsverarbeiter gelten dieselben Datenschutzpflichten wie in diesem AVV.
6. Kontrollrechte
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen, sofern diese verhältnismäßig sind.
Der Verantwortliche kann Prüfungen in angemessenem Umfang durchführen oder durch einen Beauftragten durchführen lassen, nach vorheriger Ankündigung und unter Wahrung der Vertraulichkeit anderer Mandanten sowie der Betriebssicherheit.
7. Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Übertragbarkeits- und Widerspruchsrechten betroffener Personen, soweit die Anfrage die durch PakPruvo verarbeiteten Daten betrifft.
Anfragen betroffener Personen, die direkt an den Auftragsverarbeiter gerichtet werden, leitet dieser unverzüglich an den Verantwortlichen weiter, sofern erkennbar ist, welcher Mandant Verantwortlicher ist.
8. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, nachdem ihm eine Verletzung bekannt geworden ist. Die Meldung enthält — soweit verfügbar — Art, Kategorien betroffener Personen und Daten, voraussichtliche Folgen sowie ergriffene oder vorgeschlagene Abhilfemaßnahmen.
9. Löschung und Rückgabe
Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, oder gibt sie dem Verantwortlichen zurück — sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Die Löschung erfolgt gemäß den in der Datenschutzerklärung und den AGB beschriebenen Fristen. Backups können in technisch üblichen Zyklen überschrieben werden.
10. Schlussbestimmungen
Änderungen dieses AVV bedürfen der Textform. Der Auftragsverarbeiter kann diese Vorlage aktualisieren, wenn gesetzliche oder technische Anforderungen dies erfordern; wesentliche Änderungen werden dem Verantwortlichen mit angemessener Frist mitgeteilt.
Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand für Kaufleute, juristische Personen des öffentlichen Rechts und öffentlich-rechtliche Sondervermögen ist der Sitz des Auftragsverarbeiters, sofern nicht zwingendes Recht entgegensteht.
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.
Anlage 1 — Beschreibung der Verarbeitung
Gegenstand: Bereitstellung und Betrieb von PakPruvo als mandantenfähiger SaaS-Dienst zur Pflege von Verpackungsinformationen, Verwaltung von Produkten und Nutzerkonten, Veröffentlichung über QR-Codes, automatisierte Prüfungen und Erzeugung von Dokumenten.
Dauer: Laufzeit des Nutzungsvertrags gemäß AGB.
Art und Zweck: Speicherung, Organisation, Abfrage, Übermittlung, Löschung und sonstige Verarbeitung personenbezogener Daten zur Erbringung des vertraglich vereinbarten Dienstes.
Kategorien betroffener Personen: Nutzer des Admin-Bereichs des Mandanten; ggf. vom Mandanten benannte Ansprechpartner; ggf. in hochgeladenen Inhalten oder Freitextfeldern genannte Personen.
Arten personenbezogener Daten: Name, E-Mail-Adresse, Anzeigename, Funktion/Jobtitel, Authentifizierungs- und Protokolldaten, ggf. Unterschriftsgrafiken, ggf. Kontaktdaten aus Firmenprofil; ggf. weitere vom Mandanten eingegebene personenbezogene Daten.
Besondere Kategorien: Werden vom Mandanten nicht vorgesehen verarbeitet. Der Mandant unterlässt die Eingabe besonderer Kategorien personenbezogener Daten, sofern nicht ausdrücklich vereinbart.
Anlage 2 — Unterauftragsverarbeiter
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen — Hosting, Betrieb der Anwendung und E-Mail-Versand (SMTP) auf Servern in Deutschland.
Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland — Zahlungsabwicklung und Abonnementverwaltung für kostenpflichtige Tarife; ggf. Verarbeitung in Drittländern mit geeigneten Garantien (EU-Standardvertragsklauseln).
Weitere Unterauftragsverarbeiter für KI-gestützte Funktionen werden vor Inbetriebnahme in der Datenschutzerklärung oder durch gesonderte Mitteilung benannt.
Anlage 3 — Technische und organisatorische Maßnahmen (TOMs)
Zugangskontrolle: Mandantentrennung, rollenbasierte Berechtigungen, Authentifizierung per Passwort und Token, TLS-Verschlüsselung bei Übertragung.
Zugangs- und Zugriffskontrolle: Beschränkung des Serverzugangs, getrennte Umgebungen, Protokollierung sicherheitsrelevanter Vorgänge.
Weitergabekontrolle: Keine unbefugte Weitergabe an Dritte außerhalb der in Anlage 2 genannten Unterauftragsverarbeiter.
Eingabekontrolle: Nachvollziehbarkeit von Änderungen im Admin-Bereich durch Audit-Protokolle.
Verfügbarkeits- und Belastbarkeitskontrolle: Regelmäßige Backups, Wartungsfenster, Schutz vor übermäßiger Belastung.
Verfahren zur regelmäßigen Überprüfung: Anpassung der Maßnahmen an technischen Fortschritt und Risikolage; bei Hosting über Hetzner zusätzlich deren zertifizierte TOMs im Rahmen des Hetzner-AVV.