apite GmbH

AVV

Zwischen dem im Hauptvertrag (z. B. Angebot oder Auftrag) benannten Vertragspartner – nachfolgend „Auftraggeber“ genannt – und der Apite GmbH, Klausenerstraße 47, 39112 Magdeburg – nachstehend Auftragnehmer genannt – wird Folgendes vereinbart:

Gegenstand und Dauer der Vereinbarung

Die folgende Vereinbarung zur Auftragsverarbeitung („Vereinbarung“) regelt die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers durch den Auftragnehmer im Rahmen der Erbringung von Dienstleistungen, Software und Komponenten sowie Hosting („Dienstleistungen“).

Die Parteien sind sich einig, dass diese Vereinbarung in ihrer jeweils aktuellsten Fassung, abrufbar unter https://www.apite.io/avv, maßgeblich ist.

Die Vereinbarung tritt in Kraft, sobald sie vom Auftraggeber akzeptiert wurde (z. B. durch Verweis im Hauptvertrag). Sie ersetzt in ihrer jeweils aktuellen Online-Fassung alle vorherigen schriftlichen Versionen, sofern das im Abschnitt „Änderungen dieser Vereinbarung“ beschriebene Änderungsverfahren eingehalten wurde.

Die Vereinbarung endet automatisch, wenn keine Dienstleistungen mehr beauftragt sind und die gesamte Geschäftsbeziehung zwischen den Parteien endgültig beendet wurde. Nach Beendigung der Vereinbarung werden sämtliche personenbezogenen Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung erfolgt spätestens 30 Tage nach Vertragsende. Datensicherungen werden im regulären Backup-Zyklus überschrieben, spätestens jedoch nach 90 Tagen.

Definitionen

Personenbezogene Daten

Nach Art. 4 Abs. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Auftragsverarbeiter

Nach Art. 4 Abs. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Weisung

Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Speicherung, Pseudonymisierung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete, in der Regel schriftliche Anordnung des Auftraggebers. Die Weisungen werden vom Auftraggeber erteilt und können durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Die Weisungen des Auftraggebers sind schriftlich oder per E-Mail zu erteilen.

Verpflichtungen des Auftragnehmers

Der Auftragnehmer verpflichtet sich, personenbezogene Daten im Auftrag des Auftraggebers ausschließlich gemäß den Anweisungen des Auftraggebers zu verarbeiten, die in dieser Vereinbarung oder in anderen schriftlichen Anweisungen des Auftraggebers enthalten sind, sofern keine gesetzlichen Verpflichtungen eine andere Verarbeitung erfordern.

Der Auftragnehmer ergreift geeignete technische und organisatorische Maßnahmen, um die Sicherheit und Vertraulichkeit der personenbezogenen Daten zu gewährleisten und eine angemessene Datensicherheit gemäß Art. 32 DSGVO sicherzustellen.

Der Auftragnehmer verpflichtet sich, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Dies gilt für jedwede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers verarbeitet.

Weiterhin wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.

Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen.

Der Auftragnehmer wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung des Auftragnehmers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

  • eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

    Der Auftragnehmer stellt die zur Meldung erforderlichen Informationen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Anforderung durch den Auftraggeber bereit.

Einsatz von KI-Systemen

Der Auftragnehmer ist berechtigt, KI-gestützte Systeme zur Unterstützung der Leistungserbringung einzusetzen.

KI-Systeme werden ausschließlich als technisches Hilfsmittel zur Codeanalyse, Codegenerierung, Dokumentation oder Prozessunterstützung eingesetzt. Eine autonome Entscheidungsfindung im Sinne des Art. 22 DSGVO erfolgt nicht.

Personenbezogene Daten werden nicht zum Training eigener Modelle des KI-Anbieters verwendet, sofern dies vertraglich ausgeschlossen ist.

Soweit KI-Anbieter als Unterauftragnehmer eingesetzt werden, gelten die Regelungen dieser Vereinbarung, insbesondere zu Drittlandübermittlungen. Die aktuelle Liste der Unterauftragnehmer ist unter https://www.apite.io/unterauftragnehmer einsehbar.

Art der Daten und Betroffenen

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers, die für die Erbringung der Dienstleistungen erforderlich sind, sowie die Bestandsdaten des Auftraggebers und der Beschäftigten des Auftraggebers. Die Kategorien von betroffenen Personen können alle Nutzer der vom Auftraggeber bereitgestellten Dienstleistungen sein. Die Kategorien von personenbezogenen Daten können beispielsweise Kontaktdaten, Nutzungsdaten oder Zahlungsdaten sein.

Wahrung von Rechten der betroffenen Person

Der Auftraggeber ist für die Wahrung der Rechte der betroffenen Person verantwortlich. Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Einschränkung, Datenübertragbarkeit oder Löschung – durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen.

Weisungen des Auftraggebers

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Weisung des Auftraggebers. Wenn der Auftragnehmer der Ansicht ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder andere geltende Datenschutzbestimmungen verstößt, informiert der Auftragnehmer den Auftraggeber unverzüglich. Der Auftragnehmer ist berechtigt, die Ausführung der entsprechenden Weisung auszusetzen, bis der Auftraggeber eine rechtmäßige Weisung erteilt.

Unterauftragsverhältnisse

Die aktuell eingesetzten Unterauftragnehmer sind jederzeit unter https://www.apite.io/unterauftragnehmer einsehbar.

Der Auftragnehmer informiert den Auftraggeber über die Hinzuziehung neuer Unterauftragnehmer rechtzeitig (mindestens 14 Tage vorab) in Textform (z. B. per E-Mail). Der Auftraggeber hat das Recht, binnen dieser Frist aus wichtigem Grund zu widersprechen.

Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt ausschließlich unter Einhaltung der Art. 44 ff. DSGVO.

Sofern kein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt, stellt der Auftragnehmer geeignete Garantien gemäß Art. 46 DSGVO sicher, insbesondere durch Abschluss von Standardvertragsklauseln.

Soweit erforderlich, führt der Auftragnehmer eine Transfer Impact Assessment (TIA) durch und dokumentiert die getroffenen Maßnahmen.

Datengeheimnis und Geheimhaltungspflichten

Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln mitzuteilen.

Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist.

Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieser Vereinbarung erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den oben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.

Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.

Änderungen dieser Vereinbarung

Der Auftragnehmer ist berechtigt, diese Vereinbarung einseitig zu ändern, sofern dies zur Anpassung an technische Entwicklungen, neue gesetzliche Anforderungen, geänderte Rechtsprechung oder zur Optimierung der Betriebsabläufe erforderlich ist.

Änderungen werden dem Auftraggeber mindestens sechs Wochen vor ihrem geplanten Inkrafttreten in Textform (z. B. per E-Mail) angekündigt. Die jeweils aktuelle Fassung ist dauerhaft unter https://www.apite.io/avv abrufbar.

Widerspricht der Auftraggeber der Änderung nicht innerhalb von sechs Wochen nach Zugang der Mitteilung, gilt die Änderung als genehmigt. Der Auftragnehmer wird in der Änderungsmitteilung auf das Widerspruchsrecht und die Folgen des Schweigens gesondert hinweisen.

Im Falle eines rechtzeitigen Widerspruchs besteht das Vertragsverhältnis zu den bisherigen Bedingungen fort. Der Auftragnehmer ist in diesem Fall jedoch berechtigt, die Vereinbarung sowie den zugrunde liegenden Hauptvertrag mit einer Frist von vier Wochen außerordentlich zu kündigen, sofern eine Fortführung unter den alten Bedingungen technisch oder wirtschaftlich unzumutbar ist.

Anlage 1 – Gegenstand des Auftrags

1. Gegenstand und Zweck der Verarbeitung

Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen:

  • Beratungsleistungen (Software- und Prozessbezogen)
  • Konzeption und Design
  • Website-Betreuung
  • Website-Erstellung inkl. CMS- und Shop-Implementierung
  • Betreuung von Software-as-a-Service-Lösungen
  • Einbindung Webanalyse-Tools
  • Bereitstellung der Website / Hosting
  • Bereitstellung und datenschutzkonforme Einbindung von Systemen zur automatisierten Text-, Code- und Prozessunterstützung (KI-Systeme)

2. Art(en) der personenbezogenen Daten

Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:

  • Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum)
  • Kontaktdaten (Name, Telefon, Fax, E-Mail)
  • Kundendaten (Kundennummer, Firma, Ansprechpartner, Anschrift, Webseite, Kommunikationsdaten)
  • Protokolldaten (z. B. Logfiles über Nutzungsvorgänge)
  • Verbindungsdaten (Datum und Zeit der Verbindung, Verbindungsteilnehmer)

3. Kategorien betroffener Personen

Kreis der von der Datenverarbeitung betroffenen Personen:

  • Auftraggeber
  • Beschäftigte
  • Besucher
  • Internetbesucher
  • Besucher und Nutzer der vom Auftraggeber bereitgestellten digitalen Angebote (Websites, Apps)

Anlage 2 – Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

1. Maßnahmen zur Vertraulichkeit

1.1. Beschreibung der Zutrittskontrolle

  • Außentüren – mit Türknauf an der Außenseite
  • Besucherbegleitung – innerhalb der Geschäftsräume
  • Klingelanlage – mit Gegensprechanlage
  • Schließsystem – mit Sicherheitsschlössern, Profilzylindern und Schlüsseln
  • Schlüsselregistrierung – bei Ausgabe und Rückgabe

1.2. Beschreibung der Zugangskontrolle

  • Persönlicher und individueller User-Login bei Anmeldung am System bzw. Unternehmensnetzwerk
  • Autorisierungsprozess für Zugangsberechtigungen
  • Begrenzung der befugten Benutzer
  • Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
  • Automatische Sperrung der Clients nach gewissen Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
  • Verpflichtende Multi-Faktor-Authentifizierung (MFA) für administrative Zugänge und Cloud-Systeme
  • Regelmäßige Überprüfung von Benutzerrechten

1.3. Beschreibung der Zugriffskontrolle

  • Verwaltung und Dokumentation von differenzierten Berechtigungen
  • Autorisierungsprozess für Berechtigungen

1.4. Beschreibung der Weitergabekontrolle

  • Verschlüsselung von E-Mails beim Transport mittels SSL- / TLS-Verfahren

1.5. Beschreibung des Trennungsgebotes

  • Berechtigungskonzept mit abgestufter Regelung der Datenbankrechte
  • Berechtigungskonzept mit abgestufter Regelung der Zugriffsrechte
  • Physikalische Trennung von Betriebssystem, Datenbanken und Datenträgern
  • Trennung von Entwicklungs-, Produktiv- und Testumgebung

1.6. Beschreibung der Pseudonymisierung

  • Getrennte Speicherung von Zusatzinformationen zur Identifikation
  • Autorisierungsprozess oder Genehmigungsroutinen für Berechtigungen zur Verarbeitung von Zusatzinformationen zur Identifikation

1.7. Beschreibung der Verschlüsselung

  • Verschlüsselung aller Cloud-Server im Rechenzentrum nach dem aktuellen Stand der Technik, z. B. mittels AES-256- / RAS-Verfahren
  • Verschlüsselung aller unternehmenseigenen Websites mittels HTTPS
  • Verschlüsselung von Verbindungen ins Internet über Verbindungen wie HTTPS oder SFTP

1.8. Beschreibung der Datenträgerkontrolle

  • Verschlüsselung aller Cloud-Server im Rechenzentrum nach dem aktuellen Stand der Technik, z. B. mittels AES-256- / RAS-Verfahren

1.9. Beschreibung der Benutzerkontrolle

  • Authentifikation mit Benutzername + Passwort
  • Sperrung aller Benutzeraccounts ausgeschiedener Mitarbeiter

1.10. Beschreibung der Übertragungskontrolle

  • Protokollierung aller Abrufe und Zugriffe

    Zusätzlich:

  • Verschlüsselung von Verbindungen ins Internet über Verbindungen wie HTTPS oder SFTP

  • Vollverschlüsselung mobiler Endgeräte

  • Verschlüsselung gespeicherter Daten („encryption at rest“) nach Stand der Technik

2. Maßnahmen zur Integrität

2.1. Beschreibung der Eingabekontrolle

  • Benutzernamenkonzept mit individuellen Benutzernamen zur Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten
  • Benutzerrechtekonzept mit individuellen Berechtigungen zur Eingabe, Änderung und Löschung von Daten sowie Verwaltung durch Administratoren
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten

2.2. Beschreibung der Datenintegrität

  • Physikalische Trennung von Betriebssystem, Datenbanken, Datensicherungen und Datenträgern
  • Trennung von Produktiv- und Testumgebung

2.3. Beschreibung der Speicherkontrolle

  • Benutzerprofile nach dem „need-to-know-Prinzip“
  • Benutzerrechtekonzept mit individuellen Berechtigungen zur Eingabe, Änderung und Löschung von Daten sowie Verwaltung durch Administratoren
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten

3. Maßnahmen zur Verfügbarkeit und Belastbarkeit

3.1. Beschreibung der Verfügbarkeitskontrolle

  • Backup- und Recovery-Konzept mit permanenter Datensicherung und regelmäßiger Datenrücksicherung
  • Physikalische Trennung von Betriebssystem, Datenbanken, Datensicherungen und Datenträgern

3.2. Beschreibung der raschen Wiederherstellbarkeit

  • Backup- und Recovery-Konzept mit permanenter Datensicherung und regelmäßiger Datenrücksicherung
  • IT-Administrator mit ausreichender fachlicher Eignung

3.3. Dokumentierter Incident-Response-Prozess

3.4. Regelmäßige Sicherheitsupdates und Patchmanagement

4. Weitere Maßnahmen zum Datenschutz

4.1. Beschreibung der Auftragskontrolle

  • Abschluss von Verträgen zur Auftragsverarbeitung gem. Art. 28 DSGVO oder mit EU-Standardvertragsklauseln
  • Auswahl der Auftragnehmer unter Sorgfaltsgesichtspunkten, insbesondere im Hinblick auf Datenschutz und Datensicherheit
  • Regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen des Auftragnehmers
  • Verbindliche Regelungen zum Einsatz weiterer Subunternehmer
  • Verbindliche Regelungen zum Ort der Datenverarbeitung
  • Verbindliche Regelungen zur Löschung, Rückgabe, Vernichtung der verarbeiteten Daten nach Beendigung des Auftrages
  • Verbindliche Regelungen zur Schulung der Mitarbeiter des Auftragnehmers
  • Verbindliche Regelungen zur Weisungsgebundenheit des Auftragnehmers
  • Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO
  • Vorabprüfung des Auftragnehmers im Hinblick auf Datenschutz und Datensicherheit

4.2. Beschreibung des Managementsystems zum Datenschutz

  • Verzeichnis der technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO mit laufender Überprüfung oder anlassbezogener Anpassung

4.3. Beschreibung der Organisationskontrolle

  • Verpflichtung aller Mitarbeiter auf das Datengeheimnis und Vertraulichkeit
  • Schulung aller Mitarbeiter zum Datenschutz und zur Datensicherheit

Die Übersicht der eingesetzten Unterauftragnehmer (Anlage 3) finden Sie unter https://www.apite.io/unterauftragnehmer.

Stand: 01.06.2026