Anfrage
Notruf
30 Tage kostenlos testen

Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement (DPA)

Version 1.0 – März 2026

WeDoIT GmbH

Konrad-Zuse-Platz 8

81829 München

Deutschland

1. Allgemeines

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch die WeDoIT GmbH als Auftragsverarbeiter im Sinne von Art. 28 DSGVO im Auftrag ihrer Kunden.

Sofern WeDoIT GmbH im Rahmen der vertraglich vereinbarten IT- und Sicherheitsdienstleistungen personenbezogene Daten im Auftrag verarbeitet, gilt dieser AVV.

2. Anwendungsbereich

Dieser AVV gilt insbesondere für folgende Leistungen:

  • Managed Security Services

  • SOC- und Monitoring-Leistungen

  • Endpoint Security / XDR

  • Schwachstellenanalysen

  • Penetrationstests

  • Cloud-Administration

  • PKI- und Sicherheitsinfrastruktur-Dienstleistungen

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur:

  • Erkennung und Analyse von Sicherheitsvorfällen

  • Überwachung von IT-Systemen

  • Administration von Cloud-Umgebungen

  • Durchführung von Sicherheitsanalysen

  • Incident-Response-Unterstützung

Eine Verarbeitung zu eigenen Zwecken erfolgt nicht.

4. Kategorien personenbezogener Daten

Je nach Leistungsumfang können insbesondere folgende Daten verarbeitet werden:

  • Benutzerkennungen

  • IP-Adressen

  • Logdaten

  • E-Mail-Metadaten

  • Authentifizierungsdaten

  • Gerätekennungen

  • Sicherheits- und Systemprotokolle

5. Kategorien betroffener Personen

  • Mitarbeiter des Kunden

  • IT-Administratoren

  • Geschäftspartner

  • ggf. Kunden des Auftraggebers

6. Weisungsrecht

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Kunden.

Erkennt die WeDoIT GmbH eine Weisung als datenschutzrechtlich problematisch, wird der Kunde unverzüglich informiert.

7. Technische und organisatorische Maßnahmen

WeDoIT GmbH trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere:

  • rollenbasierte Zugriffskonzepte

  • Multi-Faktor-Authentifizierung

  • verschlüsselte Datenübertragung

  • gesicherte VPN-Zugänge

  • gehärtete Systeme

  • Protokollierung von Zugriffen

  • regelmäßige Sicherheitsupdates

  • Security-Awareness-Trainings

8. Subunternehmer

Der Kunde erteilt eine generelle Genehmigung zur Einschaltung von Subunternehmern.

Subunternehmer können insbesondere sein:

  • Cynet

  • Microsoft Corporation

  • Picus Security

  • Pentaris

  • Breachlense

  • DGC

  • Hosting-Anbieter innerhalb der EU

Alle Subunternehmer sind vertraglich auf ein gleichwertiges Datenschutzniveau verpflichtet.

9. Drittlandübermittlungen

Eine Übermittlung personenbezogener Daten in Drittländer erfolgt ausschließlich unter Einhaltung der DSGVO, insbesondere auf Grundlage von:

  • Angemessenheitsbeschlüssen der EU-Kommission

  • EU-Standardvertragsklauseln (SCC)

  • EU-US Data Privacy Framework

10. Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten informiert WeDoIT GmbH den Kunden unverzüglich.

Die gesetzliche Meldepflicht gegenüber Aufsichtsbehörden verbleibt beim Kunden.

11. Prüfungsrechte

Der Kunde ist berechtigt, die Einhaltung dieses AVV in angemessener Weise zu überprüfen, ohne den Geschäftsbetrieb unverhältnismäßig zu beeinträchtigen.

Zertifizierungen oder Auditberichte können als Nachweis ausreichend sein.

12. Laufzeit und Beendigung

Dieser AVV gilt für die Dauer der vertraglichen Zusammenarbeit.

Nach Beendigung des Vertrags werden personenbezogene Daten entsprechend den Weisungen des Kunden gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Einbeziehung

Sofern dieser AVV in einem Angebot oder Vertrag der WeDoIT GmbH in Bezug genommen wird, gilt er mit Annahme des Angebots oder Vertrags als verbindlich vereinbart, ohne dass es einer gesonderten Unterschrift bedarf.

Versionshistorie

Version 1.0 – März 2026 – Erstausgabe