Auftragsverarbeitungsvertrag (AVV) — CMG Solutions / L&L
Dokument ausdrucken oder als PDF speichern → beide Parteien unterschreiben
Vertrag · DSGVO Art. 28
Auftragsverarbeitungsvertrag
zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 28 DSGVO
Verantwortlicher
L&L Work with Energy GmbH
Im Hollergrund 175a
28357 Bremen
Deutschland
Auftragsverarbeiter
CMG Solutions
Christoph Gessenhardt (Einzelunternehmer)
Kirchplatz 25, 49328 Melle-Buer
info@cmg-solutions.de
§ 1
Gegenstand und Dauer der Verarbeitung

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der Software Solano Suite (Lizenzvertrag vom ___________), einer digitalen Arbeitsumgebung für den PV-Vertrieb.

Der AVV gilt für die Dauer des Lizenzvertrags. Nach Vertragsende gelten die Regelungen in § 10 (Löschung und Rückgabe).

§ 2
Art, Zweck und Umfang der Verarbeitung

Zweck: Bereitstellung einer CRM- und Vertriebssoftware für den PV-Vertrieb des Verantwortlichen. Die Verarbeitung erfolgt ausschließlich zur Erfüllung des Lizenzvertrags und auf dokumentierte Weisung des Verantwortlichen.

Art der Verarbeitung: Speicherung, Abfrage, Änderung, Strukturierung und Löschung personenbezogener Daten über eine cloudbasierte SaaS-Anwendung.

Datenkategorie Betroffene Personen Zweck
Name, Vorname Endkunden (PV-Interessenten/-käufer) Kundenidentifikation im CRM
Adresse, PLZ, Ort Endkunden Angebotserstellung, Projektplanung
Telefonnummer, E-Mail Endkunden Kontaktaufnahme, Terminvereinbarung
Angebotsdaten (kWp, Preis, Konfiguration) Endkunden Angebotserstellung, Provisionsberechnung
Name, E-Mail, Rolle Mitarbeiter/Vertriebler von L&L Zugriffsverwaltung, Authentifizierung
Leistungsdaten (XP, Provisions-Tracking) Mitarbeiter/Vertriebler von L&L Gamification, Provisionsabrechnung

Besondere Kategorien (Art. 9 DSGVO): Es werden keine besonderen Kategorien personenbezogener Daten verarbeitet.

§ 3
Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
  2. Sicherzustellen, dass zur Verarbeitung befugten Personen Vertraulichkeit zugesichert wurde oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe § 8).
  4. Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung seiner Ansicht nach gegen die DSGVO oder andere Datenschutzvorschriften verstößt.
  5. Den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen.
  6. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung zu stellen und Überprüfungen zu ermöglichen.
  7. Personenbezogene Daten nach Wahl des Verantwortlichen nach Beendigung der Verarbeitungsleistungen zu löschen oder zurückzugeben (§ 10).
§ 4
Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich und verpflichtet sich:

  1. Dem Auftragsverarbeiter Weisungen zur Datenverarbeitung nur in dokumentierter Form zu erteilen.
  2. Sicherzustellen, dass die Rechtsgrundlage für die Verarbeitung der Daten durch den Verantwortlichen gegeben ist.
  3. Den Auftragsverarbeiter unverzüglich zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten festgestellt werden.
  4. Anfragen betroffener Personen zu koordinieren und den Auftragsverarbeiter bei der Beantwortung zu unterstützen.
§ 5
Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung folgender Pflichten gegenüber betroffenen Personen:

  • Auskunft (Art. 15 DSGVO): Daten sind im System abrufbar und können dem Verantwortlichen bereitgestellt werden.
  • Berichtigung (Art. 16 DSGVO): Daten können vom Verantwortlichen direkt im System korrigiert werden.
  • Löschung (Art. 17 DSGVO): Der Auftragsverarbeiter stellt eine Funktion zur vollständigen Datenlöschung (Hard-Delete) bereit.
  • Einschränkung (Art. 18 DSGVO): Auf Weisung des Verantwortlichen möglich.
  • Datenübertragbarkeit (Art. 20 DSGVO): Daten können auf Anfrage in maschinenlesbarem Format (JSON/CSV) bereitgestellt werden.

Der Verantwortliche ist für die Beantwortung von Anfragen betroffener Personen verantwortlich. Der Auftragsverarbeiter unterstützt dabei technisch innerhalb angemessener Fristen.

§ 6
Meldepflichten bei Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, um die Meldefrist des Verantwortlichen gegenüber der Aufsichtsbehörde (72 Stunden, Art. 33 DSGVO) einhalten zu können.

Die Meldung erfolgt per E-Mail an die vom Verantwortlichen benannte Kontaktperson. Die Meldung enthält soweit bekannt: Art der Verletzung, betroffene Datenkategorien und -mengen, wahrscheinliche Folgen sowie ergriffene Maßnahmen.

§ 7
Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen der Verantwortliche hiermit zustimmt:

Supabase Inc.
Datenbank & Authentifizierung
970 Toa Payoh North #07-04
Singapur 318992

Speicherort: Frankfurt, Deutschland (AWS eu-central-1)
DPA: supabase.com/dpa
SCCs: ✓ abgeschlossen
EU-Region
Cloudflare Inc.
Hosting & CDN
101 Townsend St.
San Francisco, CA 94107, USA

Dienst: Cloudflare Pages
DPA: cloudflare.com/gdpr
SCCs: ✓ abgeschlossen
SCCs aktiv
GitHub Inc.
Code-Repository
88 Colin P Kelly Jr St.
San Francisco, CA 94107, USA

Hinweis: Kein Zugriff auf Kundendaten — nur Quellcode
DPA: github.com/customer-agreement
Kein Datenzugriff

Bei Änderungen der Unterauftragsverarbeiter wird der Verantwortliche mindestens 30 Tage im Voraus schriftlich informiert und hat das Recht, Änderungen zu widersprechen.

§ 8
Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO folgende Maßnahmen getroffen:

Bereich Maßnahme
Verschlüsselung TLS 1.3 für alle Datenübertragungen; Datenbankdaten verschlüsselt at rest (AES-256, AWS)
Zugriffskontrolle Row Level Security (RLS) in PostgreSQL; mandantengetrennte Datenhaltung; rollenbasierte Zugriffsrechte
Authentifizierung Supabase Auth mit JWT-Token; Passwort-Hashing (bcrypt); Einladungsbasiertes Onboarding
Datentrennung Mandantengetrennte Datenhaltung via org_id; kein Datenzugriff zwischen Organisationen möglich
Löschung Hard-Delete-Funktion für vollständige Datenlöschung (Art. 17 DSGVO)
Verfügbarkeit Cloudflare Pages CDN; automatische Backups via Supabase (täglich)
Incident Response Meldung an Verantwortlichen innerhalb 24h; Protokollierung sicherheitsrelevanter Ereignisse
§ 9
Vertraulichkeit und Datenschutzbeauftragter

Alle mit der Verarbeitung befassten Personen beim Auftragsverarbeiter sind zur Vertraulichkeit verpflichtet.

Da CMG Solutions als Einzelunternehmen tätig ist und die Schwellenwerte für die Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 38 BDSG: regelmäßig mehr als 20 Personen) nicht überschreitet, ist kein Datenschutzbeauftragter bestellt. Der Verantwortliche wurde darüber informiert.

Für Datenschutzanfragen steht der Auftragsverarbeiter direkt zur Verfügung: info@cmg-solutions.de

§ 10
Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Lizenzvertrags hat der Verantwortliche die Wahl:

  1. Datenexport: Der Auftragsverarbeiter stellt alle Daten des Verantwortlichen innerhalb von 30 Tagen nach Vertragsende in einem maschinenlesbaren Format (JSON oder CSV) bereit.
  2. Löschung: Alle personenbezogenen Daten des Verantwortlichen werden nach Ablauf der Exportfrist oder auf ausdrücklichen Wunsch vollständig und unwiderruflich gelöscht.

Der Auftragsverarbeiter bestätigt die erfolgte Löschung schriftlich per E-Mail.

§ 11
Aufsicht und Kontrolle

Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu kontrollieren. Kontrollen sind:

  • Schriftlich: Fragebögen und Dokumentenanfragen jederzeit möglich.
  • Vor-Ort: Nach vorheriger Ankündigung (mindestens 14 Tage) und zu Geschäftszeiten; anfallende Kosten trägt der Verantwortliche.
  • Auditberichte: Der Auftragsverarbeiter kann Nachweise durch gleichwertige Auditberichte (z.B. ISO 27001, SOC 2) erbringen.
§ 12
Haftung

Die Haftung der Parteien richtet sich nach den Regelungen der DSGVO (Art. 82) und dem Lizenzvertrag. Jede Partei haftet für die Schäden, die durch eine ihr zurechenbare Verletzung dieses AVV entstehen.

Der Auftragsverarbeiter haftet nicht für Verarbeitungen, die der Verantwortliche außerhalb der vereinbarten Weisungen angeordnet hat.

§ 13
Schlussbestimmungen
  1. Anwendbares Recht: Es gilt das Recht der Bundesrepublik Deutschland sowie die Datenschutz-Grundverordnung (DSGVO).
  2. Rangfolge: Bei Widersprüchen zwischen diesem AVV und dem Lizenzvertrag hat dieser AVV in Datenschutzfragen Vorrang.
  3. Änderungen: Änderungen dieses AVV bedürfen der Schriftform und der Zustimmung beider Parteien.
  4. Salvatorische Klausel: Sollte eine Bestimmung dieses AVV unwirksam sein, bleibt der AVV im Übrigen wirksam.
  5. Gerichtsstand: Für Streitigkeiten aus diesem AVV ist — soweit gesetzlich zulässig — das Gericht am Sitz des Auftragsverarbeiters zuständig (Osnabrück).
Unterschriften
Vertragsunterzeichnung

Dieser AVV tritt mit Unterzeichnung durch beide Parteien in Kraft und ist Bestandteil des Lizenzvertrags vom ___________.

Verantwortlicher
L&L Work with Energy GmbH
Im Hollergrund 175a, 28357 Bremen

Ort, Datum:

Name, Funktion:
________________________________
Auftragsverarbeiter
CMG Solutions — Christoph Gessenhardt
Kirchplatz 25, 49328 Melle-Buer

Ort, Datum:

Christoph Gessenhardt (Inhaber)
Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
CMG Solutions × L&L Work with Energy GmbH · Stand: April 2026
Bei Fragen: info@cmg-solutions.de
Aufsichtsbehörde: LfD Niedersachsen