Auftragsverarbeitungsvertrag (AVV)
Stand: Juni 2026
Informationen zur Einbeziehung in Verträge
Bitte beachten Sie: Dieser Auftragsverarbeitungsvertrag („AVV“) ist integraler Bestandteil des Hauptvertrags (z. B. Software-as-a-Service-Vertrag, Nutzungsbedingungen oder Einzelbestellung), der zwischen der syniotec GmbH (nachfolgend „Auftragsverarbeiter“) und dem jeweiligen Kunden als Vertragspartei (nachfolgend „Verantwortlicher“) geschlossen wird.
Durch Abschluss des Hauptvertrags oder die Nutzung unserer Software- und Telematikleistungen wird dieser AVV rechtlich durch Bezugnahme einbezogen. Eine gesonderte Unterschrift ist nicht erforderlich. Die konkreten Angaben zur Identität des Verantwortlichen sowie die konkreten Kontaktdaten ergeben sich aus dem jeweiligen Hauptvertrag.
Präambel
Der Auftragsverarbeiter erbringt für den Verantwortlichen auf vertraglicher Grundlage Leistungen in den Bereichen Softwarebereitstellung, Anpassung, Wartung oder ähnliche Leistungen. Soweit mit dem Verantwortlichen vereinbart, erbringt der Auftragsverarbeiter darüber hinaus Leistungen im Bereich der Datenverarbeitung und -analyse im Zusammenhang mit vom Auftragsverarbeiter vertriebenen Telematiksystemen, die in Baumaschinen, Geräte oder andere vom Verantwortlichen genutzte Fahrzeuge und Anlagen integriert sind.
Teil der Durchführung des jeweiligen Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter als Auftragsverarbeiter im Sinne von Art. 4 Abs. 8 DSGVO für den Verantwortlichen als Verantwortlichen im Sinne von Art. 4 Abs. 7 DSGVO. Insbesondere Art. 28 DSGVO stellt spezifische Anforderungen an eine solche Datenverarbeitung auf, zu deren Einhaltung dieser Vertrag geschlossen wird.
1. Anwendungsbereich
1.1 Die nachfolgenden Bestimmungen gelten für alle Datenverarbeitungsleistungen im Sinne von Art. 28 DSGVO, die der Auftragsverarbeiter für den Verantwortlichen erbringt.
1.2 Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien aus dem zugrunde liegenden Vertrag (nachfolgend „Hauptvertrag“).
1.3 Soweit in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ verwendet wird, ist damit grundsätzlich die Verwendung personenbezogener Daten gemäß Art. 4 Abs. 2 DSGVO gemeint. Die Verwendung personenbezogener Daten umfasst insbesondere das Erheben, Speichern, Übermitteln, Sperren, Löschen, Anonymisieren, Pseudonymisieren, Verschlüsseln oder jede sonstige Verwendung von Daten. Es wird auf die weiteren Definitionen in Art. 4 DSGVO verwiesen.
2. Gegenstand und Dauer der Verarbeitung
2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Zusammenhang mit dem Hauptvertrag ausschließlich im Auftrag und nach Weisung des Verantwortlichen.
2.2 Gegenstand des Auftrags ist die Bereitstellung von Software zur Disposition, Nachverfolgung, Umsetzung und Abrechnung der vom Verantwortlichen eingesetzten Geräte, wie z. B. Baumaschinen, gemäß dem Hauptvertrag. Soweit beauftragt, umfasst der Gegenstand zudem die Erhebung und Übermittlung von Telematikdaten durch die Telematikeinheiten des Auftragsverarbeiters sowie die Aufbereitung und Verarbeitung dieser Daten im Auftrag des Verantwortlichen.
2.3 Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags.
3. Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung
3.1 Umfang, Art und Zweck der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag. Dies umfasst unter anderem die folgenden Tätigkeiten und Zwecke für die vom Verantwortlichen genutzten Softwarelösungen „Ram“ & „SAM“ (nachfolgend „Software“) (vorbehaltlich einer ggf. individuellen Beauftragung):
- 3.1.1 Bereitstellung der Software über einen Remote-, cloudbasierten Zugriff (SaaS).
- 3.1.2 Beratung zum Einsatz der Software.
- 3.1.3 Umsetzung von Anpassungen und Erweiterungen der Software nach Vorgaben des Verantwortlichen.
- 3.1.4 Initiale Datenmigration aus Drittsystemen des Verantwortlichen.
- 3.1.5 Durchführung von Schulungen.
- 3.1.6 Wartung und Administration der Software.
- 3.1.7 Nutzung personenbezogener Daten der Mitarbeiter des Verantwortlichen oder anderer Nutzer, die in der Software gespeichert sind, gemäß der separaten „Telematics Privacy Policy“, die beim Auftragsverarbeiter jederzeit auf Anfrage erhältlich ist.
- 3.1.8 Erhebung, Übermittlung und Verarbeitung von Daten, die durch die beim Verantwortlichen eingesetzten Telematikeinheiten des Auftragsverarbeiters erzeugt und erfasst werden, gemäß der separaten „Telematics Privacy Policy“, die beim Auftragsverarbeiter jederzeit auf Anfrage erhältlich ist.
4. Kategorien betroffener Personen
4.1 Zu den Kategorien betroffener Personen, die von der Verarbeitung personenbezogener Daten im Rahmen des zugrunde liegenden Vertrags betroffen sind, gehören:
- 4.1.1 Lieferanten / Nachunternehmer / Dienstleister / Kooperationspartner des Verantwortlichen.
- 4.1.2 Systemnutzer.
- 4.1.3 Mitarbeiter des Verantwortlichen oder sonstige Personen, die für oder im Auftrag des Verantwortlichen handeln und die über die Software verwalteten Maschinen und Geräte nutzen.
- 4.1.4 Mitarbeiter des Verantwortlichen oder sonstige Personen, die für oder im Auftrag des Verantwortlichen handeln und deren personenbezogene Daten vom Verantwortlichen in die Software eingetragen werden.
5. Arten personenbezogener Daten
5.1 Abhängig vom Nutzungsumfang und den Eingaben des Verantwortlichen können grundsätzlich folgende Daten/Datenkategorien Gegenstand der Verarbeitung sein:
- 5.1.1 Stamm-/Kontaktdaten von Mitarbeitern / Nutzern der Maschinen und Geräte: Name, Geburtsdatum, Staatsangehörigkeit, Notfallkontakt (Name, Vorname, Telefonnummer), Geschäftsadresse, geschäftliche E-Mail/Telefonnummer, geschäftliche Position, Mitarbeiterfahrzeug, baustellenbezogene Qualifikationen, Zertifikate, Führerscheine, Fotos (siehe separate „Telematics Privacy Policy“).
- 5.1.2 Vertragsdaten
- 5.1.3 Telematikdaten von Maschinen und Geräten (siehe separate „Telematics Privacy Policy“).
- 5.1.4 Standort-/Trackingdaten von Maschinen und Geräten (siehe separate „Telematics Privacy Policy“).
6. Rechte und Pflichten des Verantwortlichen
6.1 Der Verantwortliche ist allein verantwortlich für die Beurteilung der Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung sowie für die Wahrung der Rechte der betroffenen Personen und ist damit „Verantwortlicher“ im Sinne von Art. 4 Abs. 7 DSGVO.
6.2 Der Verantwortliche ist berechtigt, Weisungen hinsichtlich Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen können vom Verantwortlichen schriftlich oder in elektronischer Form (Textform) erteilt und übermittelt werden. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
6.3 Soweit es der Verantwortliche für erforderlich hält, können weisungsberechtigte Personen benannt werden. Änderungen der weisungsberechtigten Personen sind dem Auftragsverarbeiter in Textform mitzuteilen.
6.4 Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter feststellt.
6.5 Der Verantwortliche ist berechtigt, gemäß den Bestimmungen in Abschnitt 8 die Einhaltung der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen vor Beginn der Datenverarbeitung und danach regelmäßig zu überprüfen. Etwaige Kosten, die durch eine Prüfung entstehen, trägt der Verantwortliche.
7. Pflichten des Auftragsverarbeiters
7.1 Datenverarbeitung: Der Auftragsverarbeiter ist verpflichtet, personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen zu verarbeiten. Jede hiervon abweichende Verarbeitung ist untersagt. Kopien oder Duplikate dürfen nicht erstellt werden, es sei denn, dies ist gesetzlich oder durch den Hauptvertrag erforderlich.
7.2 Unterstützung bei Anträgen / Anfragen: Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflicht des Verantwortlichen, Anträgen auf Ausübung der Rechte der betroffenen Personen gemäß Kapitel III DSGVO nachzukommen.
7.3 Berichtigung, Löschung und Einschränkung der Verarbeitung: Der Auftragsverarbeiter berichtigt, löscht oder schränkt die Verarbeitung personenbezogener Daten auf Weisung des Verantwortlichen ein. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet der Auftragsverarbeiter diese Anfrage unverzüglich an den Verantwortlichen weiter.
7.4 Prüfungspflichten: Der Auftragsverarbeiter verpflichtet sich, durch geeignete Kontrollen sicherzustellen, dass die Verarbeitung ausschließlich gemäß diesem Vertrag und den Weisungen erfolgt. Der Auftragsverarbeiter bestätigt, dass er, soweit gesetzlich erforderlich, einen Datenschutzbeauftragten bestellt hat.
7.5 Informationspflichten: Der Auftragsverarbeiter weist den Verantwortlichen unverzüglich darauf hin, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO.
7.6 Ort der Datenverarbeitung: Die Erhebung, Verarbeitung und Nutzung der Daten des Verantwortlichen erfolgt innerhalb Deutschlands, eines anderen EU-Mitgliedstaats oder eines Vertragsstaats des EWR. Eine Übermittlung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die Anforderungen der Art. 44 ff. DSGVO erfüllt sind.
7.7 Löschung bei Vertragsende: Nach Beendigung des Vertrags ist der Auftragsverarbeiter verpflichtet, alle in seinem Besitz befindlichen personenbezogenen Daten an den Verantwortlichen zurückzugeben oder sie gemäß den Weisungen des Verantwortlichen datenschutzkonform und sicher zu löschen.
8. Datenschutzprüfungen
8.1 Der Auftragsverarbeiter räumt dem Verantwortlichen das Recht ein, die Einhaltung datenschutzrechtlicher Vorschriften in angemessenem Umfang während der üblichen Geschäftszeiten zu überprüfen. Der Auftragsverarbeiter kann Inspektionen von einer vorherigen Ankündigung mit angemessener Vorlaufzeit sowie der Unterzeichnung einer Vertraulichkeitsvereinbarung hinsichtlich Daten anderer Kunden abhängig machen.
8.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung von Prüfungen. Etwaige Kosten, die durch eine Prüfung entstehen, trägt der Verantwortliche.
8.3 Der Auftragsverarbeiter duldet etwaige Kontrollmaßnahmen der zuständigen Datenschutzaufsichtsbehörde und informiert den Verantwortlichen unverzüglich.
9. Unterauftragsverhältnisse
9.1 Die Beauftragung von Unterauftragnehmern als weitere Auftragsverarbeiter ist zulässig. Der Auftragsverarbeiter beauftragt derzeit die in Anlage 1 zu diesem Vertrag aufgeführten Unterauftragnehmer.
9.2 Vor der Beauftragung oder dem Austausch von Unterauftragnehmern ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen entsprechend schriftlich (Textform / E-Mail / Benachrichtigung innerhalb der Plattform ist ausreichend) zu informieren. Der Verantwortliche hat das Recht, innerhalb von vierzehn (14) Tagen nach Zugang der Information aus objektiven Gründen zu widersprechen.
9.3 Die Beauftragung von Unterauftragnehmern, die ausschließlich Nebenleistungen zur Unterstützung der Durchführung erbringen (z. B. Post-, Transport-, Kurier- oder Reinigungsleistungen), bedarf keiner Zustimmung.
9.4 Der Unterauftragsvertrag muss ein angemessenes Schutzniveau vorsehen, das mit dem dieses Vertrags vergleichbar ist.
10. Datengeheimnis / Vertraulichkeit
10.1 Der Auftragsverarbeiter ist bei der Verarbeitung von Daten für den Verantwortlichen an das Datengeheimnis und die Vertraulichkeit gebunden.
10.2 Der Auftragsverarbeiter verpflichtet sich, nur Mitarbeiter einzusetzen, die auf das Datengeheimnis verpflichtet wurden und angemessen mit den datenschutzrechtlichen Anforderungen vertraut gemacht sind.
11. Technische und organisatorische Maßnahmen (TOMs)
11.1 Die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt.
11.2 Die technischen und organisatorischen Maßnahmen können im Laufe der Vertragsbeziehung an technische Entwicklungen angepasst werden, sofern das Sicherheitsniveau nicht reduziert wird.
11.3 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Störungen, Verstöße gegen Datenschutzvorschriften oder den Verdacht auf Datenschutzverletzungen (kritisch im Hinblick auf die Meldepflichten des Verantwortlichen nach Art. 33, 34 DSGVO).
12. Schlussbestimmungen
12.1 Im Falle von Widersprüchen zwischen den Bestimmungen dieses Vertrags und dem Hauptvertrag gehen die Bestimmungen dieses Vertrags vor.
12.2 Dieser Vertrag unterliegt deutschem Recht. Gerichtsstand ist Bremen, Deutschland.
ANLAGE 1 – UNTERAUFTRAGNEHMER
Der Auftragsverarbeiter setzt zur Erbringung der vertraglich vereinbarten Leistungen die folgenden Unterauftragsverarbeiter im Sinne von Art. 28 Abs. 2 DSGVO ein:
| Unterauftragsverarbeiter | Leistung / Zweck | Unternehmenssitz | Verarbeitungsort / Region |
| Amazon Web Services EMEA SARL / Amazon Web Services, Inc. | Cloud-Hosting, Infrastruktur, Rechenzentrumsbetrieb | Luxemburg / USA | Ausschließlich innerhalb der Europäischen Union (z. B. AWS-Region Frankfurt am Main, Deutschland) |
| MongoDB, Inc. | Datenbank-Hosting und -Management (MongoDB Atlas) | USA | Innerhalb ausgewählter Rechenzentrumsregionen innerhalb der Europäischen Union |
Hinweis zu Drittlandübermittlungen: Soweit Unterauftragsverarbeiter mit Sitz außerhalb der EU/des EWR eingesetzt werden, erfolgt eine Übermittlung personenbezogener Daten ausschließlich unter Einhaltung der Anforderungen der Art. 44 ff. DSGVO (insbesondere über EU-Standardvertragsklauseln und ergänzende TOMs).
ANLAGE 2 – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMs)
Der Auftragsverarbeiter gewährleistet durch die folgenden Maßnahmen ein dem Risiko angemessenes Sicherheitsniveau:
1. Physische Zugangskontrolle (Zutrittskontrolle):
- Manuelle und elektronische Schließsysteme, Sicherheitsschlösser, Richtlinien zur Schlüssel-/Transponderverwaltung.
- Alarmanlagen, Sicherheitsdienst, Besucher-Check-in am Empfang, verpflichtende Besucherausweise, Besucherprotokollierung, biometrische Zugangssperren.
2. Systemzugangskontrolle (Zugangskontrolle):
- Verwaltung und Regelung von Benutzerrechten, Identifikation/Authentifizierung über Benutzername/Passwort.
- Einsatz von Client-Firewalls, Server-Firewalls (DMZ) sowie regelmäßig aktualisierter Anti-Virus-/Anti-Spyware-Software.
- Standard-VPN-Technologien, verschlüsselte Datenträger, automatische Arbeitsplatzsperren, logische Netzwerksegmentierung.
3. Datenzugriffskontrolle (Zugriffskontrolle):
- Rollenbasierte Berechtigungskonzepte, Minimierung von Administratorkonten.
- Strenge Passwortrichtlinien (Längenanforderungen, verpflichtende Rotationsintervalle).
- Protokollierung von Systemzugriffen und Missbrauchsversuchen, PKI-basierte Zugriffsberechtigungen, LDAP-Integration, professionelle Dokumenten- und Medienvernichtung inkl. Nachverfolgung.
4. Übermittlungskontrolle (Weitergabekontrolle):
- Datenübertragung über verschlüsselte Container, HTTPS-Verschlüsselung, VPN-Tunnel.
- Serverseitige Aufbereitung und Bereinigung von Datenbankabfragen zur aktiven Verhinderung von SQL-Injections.
- Sichere Transportbehälter und sorgfältig ausgewähltes Personal für den physischen Transport.
5. Eingabekontrolle (Eingabekontrolle):
- Restriktive Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis von Berechtigungskonzepten; umfassende Systemprotokollierung.
6. Auftragskontrolle (Auftragskontrolle):
- Bereitstellung von Nachweisen und Dokumentation zu TOMs, um dem Datenschutzbeauftragten des Verantwortlichen die Überprüfung der Einhaltung zu ermöglichen.
7. Verfügbarkeitskontrolle (Verfügbarkeitskontrolle):
- Unterbrechungsfreie Stromversorgung (USV), Notstromaggregate, Klimatisierung und Überspannungsschutz in Rechenzentren.
- Automatische Brand-/Raucherkennungssysteme mit direkter Alarmierung der örtlichen Feuerwehr, Sauerstoffreduktions-Löschanlagen.
- Redundante Glasfaseranbindungen (Darkfiber).
- Standardisierte Backup- und Wiederherstellungskonzepte, physisch getrennte Datensicherungen, regelmäßige Wiederherstellungstests.
8. Trennungsgebot (Trennungsgebot):
- Logische Multi-Tenancy-Architektur, getrennte Datenbankinstanzen nach Zweck.
- Strikte Trennung von Produktions- und Test-/Entwicklungsumgebungen.
- Getrennte Gast-WLAN-Netze; isolierte Zugriffsinstanzen für Kunden innerhalb der AWS-Infrastruktur.
(Wenn ein Kunde für seine interne rechtliche Dokumentation eine PDF-Kopie dieses AVV benötigt, können Sie auf Anfrage eine vorunterzeichnete PDF-Version per E-Mail bereitstellen und dabei auf diese Online-Seite verweisen).