H5M H5M
AVV v2026-05-26-modern

Auftragsverarbeitungsvertrag (AVV) — Stand 26.05.2026

Hinweis: Diese Fassung des Auftragsverarbeitungs- vertrags entspricht dem Stand 26.05.2026 und ist auf den tatsaechlichen technischen + organisatorischen Stand der High5Manufaktur GmbH ausgelegt. Bestehende Vertragsverhaeltnisse bleiben unberuehrt; bei wesentlichen Aenderungen werden die Kunden gemaess § 14 in Textform informiert.

Päambel

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus dem Hauptvertrag über Managed IT-Services (Microsoft 365 Managed Services, Mail-Schutz, Cloud-Backup, RMM, Service-Desk u. ä.) ergeben. Er findet Anwendung auf alle Verarbeitungstätigkeiten, bei denen die High5Manufaktur GmbH (im Folgenden „Auftragsverarbeiterin“) im Auftrag der im Hauptvertrag benannten Kundin oder des Kunden (im Folgenden „Verantwortliche“) personenbezogene Daten i. S. d. Art. 4 Nr. 2 DSGVO verarbeitet.

Es gelten die Begriffsbestimmungen der DSGVO sowie die einschlägigen Leitlinien des Europäischen Datenschutzausschusses (EDSA) in der jeweils aktuellen Fassung.

§ 1 Gegenstand, Art und Zweck der Verarbeitung

(1) Gegenstand der Verarbeitung ist die Erbringung der im Hauptvertrag vereinbarten IT-Dienstleistungen (insbesondere: Microsoft 365 Managed Services, Cloud-Telefonie, RMM & Patchmanagement, IT-Sicherheit inkl. EDR/MDR/XDR, E-Mail-Sicherheit und -Archivierung, Cloud-Backup, IT-Support und Service-Desk).

(2) Art und Zweck der Verarbeitung umfassen alle Verarbeitungsvorgänge, die zur Erbringung dieser Dienstleistungen erforderlich sind — insbesondere Erhebung, Speicherung, Strukturierung, Anpassung, Wiederherstellung, Sicherung, Übermittlung innerhalb der EU, Einschränkung und Löschung. Eine Nutzung der Daten zu eigenen Zwecken der Auftragsverarbeiterin findet nicht statt.

(3) Eine Verarbeitung erfolgt ausschliesslich innerhalb der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Eine Übermittlung in ein Drittland im Sinne der Art. 44 ff. DSGVO findet nur statt, wenn die Voraussetzungen dieser Vorschriften erfüllt sind (insbesondere Angemessenheitsbeschluss, geeignete Garantien nach Art. 46 DSGVO, EU-Standardvertragsklauseln 2021/914 nebst Transfer-Impact- Assessment). Aktuelle Konstellationen sind in Anlage 2 abschliessend benannt.

§ 2 Dauer und Beendigung

(1) Die Laufzeit dieses AVV ist an die Laufzeit des Hauptvertrags gekoppelt. Mit dessen Beendigung endet auch die Berechtigung der Auftragsverarbeiterin zur Verarbeitung.

(2) Das Recht zur ausserordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor bei (a) schwerwiegenden Verstössen der Auftragsverarbeiterin gegen diesen AVV oder gegen das Datenschutzrecht, (b) Verweigerung von Kontrollrechten oder dokumentierter Weisungen, (c) Anordnung einer Aufsichtsbehörde, die einer Fortführung der Verarbeitung entgegensteht.

§ 3 Weisungsrecht

(1) Die Auftragsverarbeiterin verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung der Verantwortlichen. Weisungen werden in Textform (§ 126b BGB) erteilt — per E-Mail, Ticket im Service-Desk oder im Dashboard der Plattform. Mündliche Weisungen sind unverzüglich textförmlich zu bestätigen.

(2) Die Auftragsverarbeiterin informiert die Verantwortliche unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstösst. Die Auftragsverarbeiterin ist berechtigt, die Umsetzung einer solchen Weisung bis zu deren Bestätigung oder Änderung auszusetzen.

(3) Weisungsberechtigt auf Seiten der Verantwortlichen sind die im Hauptvertrag benannten Personen sowie deren ausdrücklich bevollmächtigte Stellvertreter.

§ 4 Art der Daten und Kategorien betroffener Personen

(1) Gegenstand der Verarbeitung sind üblicherweise folgende Datenkategorien:

(2) Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO werden nur verarbeitet, sofern sie der Verantwortlichen im Rahmen ihres regulären Mail- oder Datei- Verkehrs unbeabsichtigt anvertraut werden; eine zielgerichtete Verarbeitung solcher Kategorien findet seitens der Auftragsverarbeiterin nicht statt.

(3) Kategorien betroffener Personen sind insbesondere:

§ 5 Pflichten der Auftragsverarbeiterin nach Art. 28 DSGVO

Die Auftragsverarbeiterin sichert insbesondere zu:

  1. Weisungsgebundene Verarbeitung — ausschliesslich nach dokumentierter Weisung der Verantwortlichen, sofern nicht gesetzliche Verpflichtungen entgegenstehen. Sie weist im Vorfeld auf solche Verpflichtungen hin, sofern dies rechtlich zulässig ist.
  2. Verschwiegenheit — alle mit der Verarbeitung befassten Personen sind nach § 53 BDSG ausdrücklich auf das Datengeheimnis verpflichtet. Die Verpflichtung wirkt über das Ende der Tätigkeit hinaus fort. Nachweise werden auf Anforderung vorgelegt.
  3. Technisch-organisatorische Massnahmen nach Art. 32 DSGVO — siehe § 8 und Anlage 1.
  4. Unterstützung der Verantwortlichen bei Anträgen Betroffener (Art. 12–22 DSGVO), bei Datenschutz- Folgenabschätzungen (Art. 35), bei Konsultationen mit der Aufsichtsbehörde (Art. 36) und bei der Erfüllung von Mitteilungspflichten nach Art. 33–34.
  5. Löschung oder Rückgabe aller Daten nach Wahl der Verantwortlichen spätestens 30 Tage nach Beendigung des Hauptvertrags — siehe § 13. Aufbewahrungspflichten nach HGB/AO bleiben unberührt.
  6. Nachweise über die Einhaltung der Pflichten aus diesem AVV werden in geeigneter Form (Zertifikate, Audit-Reports, Verfahrensdokumentation nach GoBD, Backup-Pruefberichte) auf Anforderung bereitgestellt.
  7. Bestellung eines Datenschutzbeauftragten — die Auftragsverarbeiterin prüft kontinuierlich die Pflicht nach Art. 37 DSGVO. Aktuell wird die Funktion durch den Geschäftsführer wahrgenommen; bei Überschreiten der gesetzlichen Schwellen erfolgt eine externe Bestellung.

§ 6 Unterauftragsverarbeiter (Subprozessoren)

(1) Die Verantwortliche erteilt der Auftragsverarbeiterin eine allgemeine schriftliche Genehmigung i. S. d. Art. 28 Abs. 2 DSGVO zur Hinzuziehung weiterer Auftragsverarbeiter. Aktuell genutzte Unterauftragsverarbeiter sind in Anlage 2 abschliessend aufgeführt.

(2) Beabsichtigte Wechsel oder Hinzunahmen werden der Verantwortlichen mindestens 30 Tage vor Wirksamkeit in Textform angezeigt. Die Verantwortliche kann der Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb von 14 Tagen nach Zugang der Anzeige widersprechen. Erfolgt kein Widerspruch, gilt die Genehmigung als erteilt.

(3) Im Fall eines wirksamen Widerspruchs verhandeln die Parteien einvernehmlich über eine Alternative. Kommt keine Einigung zustande, hat die Verantwortliche ein Sonderkündigungsrecht hinsichtlich des Hauptvertrags.

(4) Die Auftragsverarbeiterin verpflichtet jeden Unterauftragsverarbeiter vertraglich mindestens auf das in diesem AVV vereinbarte Schutzniveau (Art. 28 Abs. 4 DSGVO). Sie haftet gegenüber der Verantwortlichen für die Einhaltung dieser Verpflichtungen wie für eigenes Handeln.

(5) Eine Weiter-Auslagerung durch einen Unterauftragsverarbeiter bedarf der ausdrücklichen schriftlichen Zustimmung der Auftragsverarbeiterin und ist nur unter den Bedingungen dieses § 6 zulässig.

§ 7 Datenpannen und Meldepflichten

(1) Die Auftragsverarbeiterin meldet jede Verletzung des Schutzes personenbezogener Daten i. S. d. Art. 4 Nr. 12 DSGVO der Verantwortlichen unverzüglich, spätestens jedoch binnen 24 Stunden nach Kenntnis — per E-Mail an die im Hauptvertrag hinterlegte Kontaktadresse und parallel per Telefon, sofern eine 72-Stunden-Frist nach Art. 33 DSGVO konkret bedroht ist.

(2) Die Meldung enthält mindestens:

(3) Meldungen an Aufsichtsbehörden nach Art. 33 DSGVO sowie Benachrichtigungen Betroffener nach Art. 34 erfolgen ausschliesslich durch die Verantwortliche. Die Auftragsverarbeiterin unterstützt sie hierbei angemessen.

§ 8 Technisch-organisatorische Massnahmen (TOMs)

(1) Die Auftragsverarbeiterin trifft die in Anlage 1 aufgeführten technischen und organisatorischen Massnahmen i. S. d. Art. 32 DSGVO. Die Massnahmen berücksichtigen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände, Zwecke der Verarbeitung und die Eintrittswahrscheinlichkeit/Schwere der Risiken.

(2) Die Auftragsverarbeiterin überprüft, bewertet und evaluiert die Wirksamkeit der TOMs mindestens jährlich sowie anlassbezogen (Sicherheitsvorfälle, wesentliche Architekturänderungen, neue Subprozessoren).

(3) Wesentliche Änderungen der TOMs werden der Verantwortlichen in Textform bekannt gegeben; das vereinbarte Schutzniveau darf dadurch nicht unterschritten werden.

§ 9 Rechte der betroffenen Personen

(1) Die Auftragsverarbeiterin unterstützt die Verantwortliche durch geeignete TOMs bei der Erfüllung der Rechte Betroffener (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

(2) Wendet sich eine betroffene Person unmittelbar an die Auftragsverarbeiterin, leitet sie das Ersuchen unverzüglich an die Verantwortliche weiter und beantwortet es nicht selbständig.

(3) Auskunfts-, Lösch- und Berichtigungsersuchen setzt die Auftragsverarbeiterin nur auf Weisung der Verantwortlichen um.

§ 10 Kontrollrechte und Audits

(1) Die Verantwortliche überzeugt sich vor Beginn der Verarbeitung und sodann regelmässig in angemessener Weise von der Einhaltung der TOMs und der Vereinbarungen dieses AVV.

(2) Auf erste Anforderung stellt die Auftragsverarbeiterin folgende Nachweise zur Verfügung:

(3) Vor-Ort-Prüfungen am Sitz der Auftragsverarbeiterin sind nach Terminabsprache mit einer Vorankündigungsfrist von mindestens 14 Werktagen möglich, höchstens einmal pro Kalenderjahr ohne wichtigen Grund. Die Verantwortliche darf sich durch unabhängige Dritte vertreten lassen, sofern diese ihrerseits zur Verschwiegenheit verpflichtet sind und keine Wettbewerber der Auftragsverarbeiterin darstellen.

(4) Für den durch eine Vor-Ort-Prüfung entstehenden Aufwand kann die Auftragsverarbeiterin eine angemessene Vergütung auf Basis ihres aktuellen Stundensatzes verlangen, sofern die Prüfung ohne konkrete Veranlassung erfolgt.

§ 11 Drittlandsverarbeitung

(1) Sofern Unterauftragsverarbeiter mit Sitz oder Datenverarbeitungsorten ausserhalb der EU/des EWR eingesetzt werden (siehe Anlage 2), erfolgt dies nur unter den Voraussetzungen der Art. 44 ff. DSGVO. Hierzu zählen insbesondere:

(2) Aktuell sind die Kerndienste so konfiguriert, dass Kundendaten innerhalb der EU verarbeitet werden. Bekannt sind:

(3) Sofern ein Drittland-Transfer im Einzelfall unvermeidbar wird (z. B. Telemetriedaten von US-Tochterunternehmen europäischer Anbieter), informiert die Auftragsverarbeiterin die Verantwortliche vorab und legt das zugrundeliegende TIA offen.

§ 12 Haftung

(1) Die Haftung der Parteien richtet sich nach den Regelungen des Hauptvertrags, soweit nachstehend nichts anderes bestimmt ist. Art. 82 DSGVO bleibt unberührt.

(2) Im Innenverhältnis haften die Parteien einander für Schäden aus Verstössen gegen diesen AVV oder die DSGVO entsprechend ihres jeweiligen Verschuldensanteils.

§ 13 Beendigung — Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags oder früher auf Weisung der Verantwortlichen hat die Auftragsverarbeiterin alle Daten der Verantwortlichen sowie etwaig erstellte Kopien zurückzugeben oder — nach Wahl der Verantwortlichen — datenschutzgerecht zu löschen.

(2) Die Löschung erfolgt spätestens 30 Tage nach Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- pflichten entgegenstehen (HGB, AO, GoBD). Im Falle solcher Pflichten werden die Daten technisch und organisatorisch isoliert weitergehalten.

(3) Die Löschung wird der Verantwortlichen auf Anforderung in Textform mit Datumsangabe bestätigt. Backup-Bestaende unterliegen der dokumentierten Rotation und werden mit Ablauf der Object-Lock-Periode (siehe Anlage 1) automatisch überschrieben.

§ 14 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung dieses Formerfordernisses.

(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor, soweit sie datenschutzrechtliche Sachverhalte regeln.

(3) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts und des materiellen internationalen Privatrechts.

(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die der wirtschaftlichen und datenschutzrechtlichen Zielsetzung der unwirksamen Bestimmung am nächsten kommt.

Anlage 1 — Technisch-organisatorische Massnahmen (TOMs, Stand 2026)

Verantwortliche Stelle: High5Manufaktur GmbH, Am Buchenhain 2, 76359 Marxzell.

Bezugsrahmen: Art. 32 DSGVO, BSI-Grundschutz-Kompendium (Stand 2025), ISO/IEC 27001-Kontrollziele (Edition 2022, deutsche Ausgabe 2024).

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

4. Auftragskontrolle (Art. 32 Abs. 1 lit. b DSGVO i. V. m. Art. 28)

5. Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

6. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

7. Pseudonymisierung und Datenminimierung (Art. 32 Abs. 1 lit. a, Art. 5 DSGVO)

Anlage 2 — Unterauftragsverarbeiter (Subprozessoren, Stand 2026)

Aufgeführt sind alle Unterauftragsverarbeiter, die im Rahmen der Leistungen der High5Manufaktur GmbH personenbezogene Daten der Verantwortlichen tatsächlich verarbeiten. Reine Distributoren oder Hardware-Händler ohne Datenzugriff sind nicht aufgeführt.

2.1 Plattform-Infrastruktur

2.2 Microsoft 365 Managed Services

2.3 Kaufmännische Datenverarbeitung

2.4 Werkzeuge mit potenziellem Datenkontakt

Änderungen dieser Liste werden gemäss § 6 Abs. 2 mit einer Vorankündigungsfrist von 30 Tagen in Textform angezeigt. Der jeweils aktuelle Stand ist unter https://app.h5m.rocks/legal/avv einsehbar.

Version 2026-05-26-modern — gültig ab 26.05.2026.