Auftragsverarbeitung · Art. 28 DSGVO

AVV-Anlagen

Stand: 01.07.2026 DSGVO-konform

Diese Seite enthält die aktuellen Anlagen zur Vereinbarung über Auftragsverarbeitung (AVV) der engel&engel gmbh gemäß Art. 28 DSGVO. Sie ist verbindlicher Bestandteil des AVV-Vertrags und wird bei Änderungen mit 4-Wochen-Vorankündigung aktualisiert.

Hinweis für Vertragspartner: Änderungen an diesen Anlagen werden per E-Mail mit einer Frist von mindestens 4 Wochen vor Wirksamwerden angekündigt. Ohne fristgerechten Widerspruch gelten Änderungen gemäß §8 und §14 des AVV als genehmigt.

Inhalt

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs) Anlage 2 – Datensicherung und Fernwartung Anlage 3 – Unterauftragsverarbeiter

Anlage 1

Technische und organisatorische Maßnahmen (TOMs)

Stand: 01.07.2026

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Diese umfassen insbesondere:

Vertraulichkeit

  • Zutrittskontrollen zu Büro- und Serverräumen
  • Zugriffsbeschränkungen und Benutzer- und Rechtekonzepte
  • Passwortschutz und Mehr-Faktor-Authentifizierung soweit möglich
  • Verschlüsselung geeigneter Systeme und Datenträger

Integrität

  • Protokollierung administrativer Zugriffe
  • Schutz vor unbefugter Veränderung
  • Firewall- und Sicherheitskonzepte
  • Virenschutz- und Sicherheitslösungen

Verfügbarkeit

  • Datensicherungskonzepte
  • Notfall- und Wiederherstellungsverfahren
  • Schutz vor Datenverlust
  • USV- und Sicherheitsmaßnahmen soweit vorhanden

Belastbarkeit

  • Monitoring- und Überwachungssysteme
  • Update- und Patchmanagement
  • Sicherheitsüberprüfungen

Verfahren

  • Datenschutz- und Berechtigungskonzepte
  • Mitarbeiterschulung
  • Vertraulichkeitsverpflichtungen
  • Regelmäßige Überprüfung der Maßnahmen

Anlage 2

Datensicherung und Fernwartung

Stand: 01.07.2026

Soweit entsprechende Leistungen beauftragt wurden, gelten ergänzend folgende Regelungen:

Datensicherung

  • Bereitstellung und Überwachung verschlüsselter Cloud- und Online-Backup-Lösungen
  • Durchführung automatisierter Online-Datensicherungen
  • Überwachung und Kontrolle von Sicherungsvorgängen soweit technisch vorgesehen
  • Unterstützung bei Wiederherstellungsmaßnahmen im Fehlerfall
  • Speicherung von Datensicherungen in Rechenzentrumsumgebungen innerhalb der EU soweit technisch vorgesehen

Online-Backup

Soweit Online-Backup-Leistungen erbracht werden, erfolgt die Speicherung ausschließlich verschlüsselt in Rechenzentren innerhalb der EU.

Fernwartung

  • Fernwartungszugriffe erfolgen ausschließlich zweckgebunden, durch autorisierte Mitarbeitende und protokolliert (Datum, Dauer, Person, Zweck)
  • Fernwartungsleistungen über Splashtop oder vergleichbare Lösungen; Datenverarbeitung über EU-Server, Drittlandtransfer durch SCCs abgesichert
  • Monitoring-, RMM- und automatisierte Wartungsleistungen über Atera oder vergleichbare Plattformen
  • Cloud-Backup-, Hosting- und IaaS-Leistungen über Wortmann terra cloud oder vergleichbare Anbieter

Anlage 3

Unterauftragsverarbeiter

Stand: 01.07.2026

Der Auftragnehmer setzt – soweit für die jeweilige Leistung erforderlich – folgende Unterauftragnehmer, Cloudanbieter und technische Dienstleister ein. Reine Warenlieferanten ohne Zugriff auf personenbezogene Daten im Auftrag des Auftraggebers sind nicht aufgeführt.

UnternehmenZweckVerarbeitete Daten
medatixx GmbH & Co. KGPraxissoftware, Support, TI, UpdatesAdresse, Kommunikationsdaten, Ansprechpartner, Vertragsdaten
Wortmann AG / terra cloud GmbHCloudbackup, Hosting, IaaS, virtuelle ServerAdresse, Ansprechpartner, Infrastruktur-, System- und Serverdaten
Microsoft Ireland Operations Ltd.Microsoft 365, Exchange Online, CloudservicesAdresse, Kommunikationsdaten, Benutzerdaten
Atera Networks Ltd.Monitoring, RMM, FernverwaltungInfrastruktur-, System- und Gerätedaten
BitdefenderManaged Antivirus / EDRInfrastruktur-, System- und Gerätedaten
Securepoint GmbHFirewall-, UTM- und Mailsecurity-LösungenNetzwerk-, Firewall- und Zugangsdaten
Splashtop Inc. SCCsFernwartung (EU-Server)Verbindungs- und Systemdaten
Placetel / BroadSoft Germany GmbHCloudtelefonieKommunikations- und Vertragsdaten
Brevo (Sendinblue SAS)Versand von Kunden-E-Mails (Newsletter, Kampagnen, Servicemitteilungen)Name, E-Mail-Adresse

Der Einsatz der jeweiligen Unterauftragnehmer erfolgt ausschließlich, soweit dies für die beauftragte Leistung erforderlich ist. Der Auftragnehmer stellt sicher, dass alle Unterauftragnehmer gemäß Art. 28 DSGVO verpflichtet werden. Änderungen dieser Liste werden gemäß §8 AVV mit 4-Wochen-Frist angekündigt.