Auftragsverarbeitung

Auftragsverarbeitungsvertrag (AVV).

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch die Bredex GmbH im Rahmen der Bereitstellung und Nutzung der Plattform Compalia gemäß Art. 28 DSGVO.

Stand: 09. April 2026 · Auftragnehmer: Bredex GmbH

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Zusammenhang mit der Bereitstellung und Nutzung der Plattform „Compalia".

(2) Die Verarbeitung erfolgt für die Dauer des Hauptvertrags sowie für einen anschließenden Zeitraum, soweit dies gesetzlich erforderlich oder vertraglich vorgesehen ist.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Bereitstellung, Nutzung, Verwaltung, Dokumentation, Auswertung, technischen Unterstützung und Absicherung der Plattform „Compalia", insbesondere zur Speicherung, Strukturierung, Bearbeitung, Anzeige, Nachverfolgung und Löschung von Daten innerhalb der Plattform.

§ 3 Kategorien von Daten und betroffenen Personen

(1) Es können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Name, Vorname und geschäftliche Kontaktdaten von Nutzern
  • Funktions- oder Rollenangaben
  • Login-, Session- und Nutzungsdaten
  • technische Protokolldaten
  • Inhaltsdaten, insbesondere Kommentare, Dokumente, Maßnahmen, Statusangaben und Bearbeitungshistorien
  • Kommunikationsdaten
  • Zahlungs- und Abrechnungsbezüge, soweit diese innerhalb der Plattform verarbeitet werden

(2) Betroffene Personen können insbesondere Mitarbeiter des Auftraggebers, Ansprechpartner, Geschäftspartner oder sonstige Personen sein, deren Daten der Auftraggeber innerhalb der Plattform verarbeitet.

§ 4 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Verpflichtung zur abweichenden Verarbeitung besteht.

§ 5 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 6 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Schutz der verarbeiteten personenbezogenen Daten.

(2) Diese Maßnahmen dienen insbesondere der Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste.

(3) Der Auftragnehmer ist berechtigt, die Maßnahmen fortzuentwickeln, soweit das geschuldete Schutzniveau nicht unterschritten wird.

§ 7 Unterauftragnehmer

(1) Der Auftraggeber stimmt zu, dass der Auftragnehmer Unterauftragnehmer einsetzt, soweit dies zur Leistungserbringung erforderlich ist.

(2) Der Auftragnehmer stellt sicher, dass mit Unterauftragnehmern ein den gesetzlichen Anforderungen entsprechendes Schutzniveau vereinbart wird. Der Auftraggeber kann Informationen über die eingesetzten Unterauftragnehmer anfordern.

(3) Der Auftragnehmer informiert den Auftraggeber auf Anfrage über die für die Plattform tatsächlich eingesetzten Unterauftragnehmer. Die in den allgemeinen Datenschutzhinweisen des Auftragnehmers für die Unternehmenswebsite genannten Dienstleister sind nicht automatisch Gegenstand dieses Vertrags, soweit sie nicht auch für die Plattformleistungen eingesetzt werden.

§ 8 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des gesetzlich Erforderlichen und wirtschaftlich Zumutbaren bei der Erfüllung datenschutzrechtlicher Pflichten, insbesondere im Zusammenhang mit Betroffenenrechten, Sicherheitsvorfällen und behördlichen Anfragen.

§ 9 Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die die im Auftrag verarbeiteten Daten betrifft.

§ 10 Kontrollen und Nachweise

(1) Der Auftraggeber ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorgaben in angemessenem Umfang zu kontrollieren oder kontrollieren zu lassen.

(2) Der Auftragnehmer kann geeignete Nachweise, Zertifikate, Berichte oder Selbstauskünfte zur Verfügung stellen.

§ 11 Rückgabe und Löschung

(1) Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragnehmer die im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers zurück, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Soweit nach dem Hauptvertrag eine Übergangsfrist für Speicherung, Reaktivierung oder Datenmigration vorgesehen ist, gilt diese vorrangig.

§ 12 Schlussbestimmungen

(1) Im Übrigen gelten die Regelungen des Hauptvertrags (SaaS-Nutzungsbedingungen).

(2) Bei Widersprüchen zwischen Hauptvertrag und AVV gehen die Regelungen dieses AVV insoweit vor, als sie die Verarbeitung personenbezogener Daten betreffen.

Cookie-Einstellungen

Sie entscheiden, welche Cookies und Tracking-Tools wir auf compalia.de einsetzen dürfen. Notwendige Cookies sind für den Betrieb der Website erforderlich und können nicht deaktiviert werden.

Mehr Informationen finden Sie in unserer Datenschutzerklärung.