@aegis-scan/skills 0.5.0 → 0.5.2

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-TOMs.md

@@ -0,0 +1,197 @@
+# Anhang B — Technische und Organisatorische Maßnahmen (TOM-Katalog)
+
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Art. 32 DSGVO, Art. 8 revDSG, ISO 27001:2022, BSI IT-Grundschutz, NIST SP 800-53.
+**Anwendungsfall**: Anhang B des AVV (`AVV-standard-DE.md` / `AVV-EN-international.md`); zugleich Annex II der EU SCC 2021/914 Module 2 / 3.
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG. Die folgenden Maßnahmen sind Mindeststandards; bei besonderen Risiken (sensible Daten Art. 9/10 DSGVO, Großmengen-Verarbeitung, Drittlands-Bezug) sind sie zu erhöhen.
+
+---
+
+## Struktur (analog Art. 32 DSGVO + EU SCC Annex II)
+
+7 Kategorien:
+
+1. Pseudonymisierung & Verschlüsselung
+2. Vertraulichkeit (Zutritts-, Zugangs-, Zugriffs-, Trennungskontrolle)
+3. Integrität (Weitergabe-, Eingabe-Kontrolle)
+4. Verfügbarkeit & Belastbarkeit
+5. Wiederherstellbarkeit nach Zwischenfällen
+6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
+7. Maßnahmen-Anpassung (Datenschutz-Management)
+
+---
+
+## Kategorie 1 — Pseudonymisierung & Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
+
+| Maßnahme | Implementierung beim Auftragsverarbeiter (Pflicht-Item) | Ist-Stand <ja/nein/teilweise> |
+|----------|--------------------------------------------------------|------------------------------|
+| Verschlüsselung in transit | TLS ≥ 1.2 (vorzugsweise 1.3); HSTS preload; PFS-Cipher-Suites; HTTP/2 oder HTTP/3 | <…> |
+| Verschlüsselung at rest | AES-256-GCM für Datenbank-Storage; AES-256 für Backup-Volumes; volume-level encryption (LUKS / cloud-managed KMS) | <…> |
+| Schlüsselverwaltung | Hardware Security Module (HSM) oder Cloud KMS (AWS KMS / GCP KMS / Azure Key Vault); Key Rotation jährlich; BYOK-Option für Verantwortlichen | <…> |
+| Pseudonymisierung | UUID-basierte Pseudonyme; Mapping-Tabellen separat gespeichert; Re-Identifikations-Schlüssel nur autorisiertem Personal zugänglich | <…> |
+| Anonymisierung | Statistische Anonymisierung (k-Anonymität / Differential Privacy) für Analytics-Datasets, soweit anwendbar | <…> |
+| Token-basierte Authentisierung | JWT mit kurzen TTLs (≤15 min); Refresh-Token rotiert + revoke-fähig | <…> |
+| Email-Verschlüsselung | TLS für SMTP-Übermittlung; S/MIME oder PGP für sensible Inhalte | <…> |
+| Mobile Geräte | Geräteverschlüsselung verpflichtend (FileVault / BitLocker / Android FBE) | <…> |
+
+---
+
+## Kategorie 2 — Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
+
+### 2.1 Zutrittskontrolle (physisch)
+
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Rechenzentrum-Zugang | ISO 27001 / SOC 2 zertifiziertes RZ; Mehrfaktor-Zutritt (Karte + Biometrie); Besucherprotokoll | <…> |
+| Bürozugang | Schlüssel-/Token-System; Besucher-Anmeldung; Empfang | <…> |
+| Verschluss-Schränke | für Akten + Backup-Medien | <…> |
+| Alarmanlage / Videoüberwachung | mit revisionssicherer Speicherung | <…> |
+| Aufbewahrung Hardware bei Außendienst | Diebstahlsicherung; verschlüsselte Geräte | <…> |
+
+### 2.2 Zugangskontrolle (logisch — Authentifizierung)
+
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| MFA verpflichtend | für Mitarbeiter UND Admin-Accounts; TOTP / FIDO2 / WebAuthn | <…> |
+| Passwort-Policy | ≥12 Zeichen, Multi-Charset, Hash mit bcrypt/argon2, NIST SP 800-63B-konform | <…> |
+| Single Sign-On (SSO) | für interne Tools mit zentralem IdP (Azure AD / Okta / Keycloak) | <…> |
+| Session-Management | absolute + idle Timeout; Logout-on-close; Session-Token rotiert | <…> |
+| Account-Lockout | nach 5 Fehlversuchen für 15 min | <…> |
+| Privileged Access Management (PAM) | Just-in-Time-Zugriff für Admin-Tasks; Audit-Logs | <…> |
+
+### 2.3 Zugriffskontrolle (Autorisierung)
+
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Role-Based Access Control (RBAC) | Rollen-/Rechtematrix dokumentiert; Need-to-know-Prinzip | <…> |
+| Least Privilege | minimal notwendige Rechte; periodisches Review (quartalsweise) | <…> |
+| Daten-Klassifikation | öffentlich / intern / vertraulich / streng vertraulich; Markierung in Storage-Systemen | <…> |
+| Audit-Logs | sämtliche Zugriffe auf personenbezogene Daten loggen; Retention ≥ 90 Tage; manipulationssicher | <…> |
+| Berechtigungs-Review | mind. quartalsweise; bei Personalwechsel sofort | <…> |
+
+### 2.4 Trennungskontrolle (Mandantentrennung)
+
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Mandantentrennung | logisch (tenant_id pro Datensatz + Row-Level-Security) ODER physisch (separate DB-Instanzen) | <…> |
+| Test- vs. Produktivsystem | getrennt; keine Echt-Daten in Test-Umgebungen | <…> |
+| Multi-Tenancy-Isolation | API-seitig durch tenant_id-Validierung jeder Anfrage; AEGIS tenant-isolation-checker konform | <…> |
+
+---
+
+## Kategorie 3 — Integrität (Art. 32 Abs. 1 lit. b DSGVO)
+
+### 3.1 Weitergabekontrolle
+
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Sichere Übertragungskanäle | TLS-Pflicht für API; SFTP/SSH für Datei-Transfer; VPN für Mitarbeiter-Remote-Access | <…> |
+| Übergabeprotokolle | dokumentiert für jede manuelle Datenübergabe | <…> |
+| Sichere Datenträger-Vernichtung | nach DIN 66399 Stufe ≥ H4 / E3 / O3; Vernichtungs-Zertifikat | <…> |
+
+### 3.2 Eingabekontrolle
+
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Audit-Logging | Anlage / Änderung / Löschung personenbezogener Daten loggen | <…> |
+| Versionierung | bei kritischen Datensätzen; Wiederherstellbarkeit von Vorgängerversionen | <…> |
+| Eingangsvalidierung | Server-side Input-Validation; SQL-Injection-Schutz; XSS-Schutz | <…> |
+| Signatur-Validierung | bei API-Calls mit kritischer Wirkung (HMAC / JWS / Webhook-Signatures) | <…> |
+
+---
+
+## Kategorie 4 — Verfügbarkeit & Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
+
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Hochverfügbarkeit | Multi-AZ-Deployment; SLA ≥ 99,9 % | <…> |
+| Lastverteilung | Load Balancer; Auto-Scaling | <…> |
+| DDoS-Schutz | Cloudflare / AWS Shield / Azure DDoS Protection | <…> |
+| Brand-/Wassermelder | im RZ (i. d. R. durch RZ-Anbieter sichergestellt) | <…> |
+| USV / Notstrom | im RZ ≥ 24 h Überbrückung | <…> |
+| Regelmäßige Backups | täglich inkrementell + wöchentlich vollständig; geographisch redundant gespeichert | <…> |
+| Backup-Verschlüsselung | AES-256 at rest + in transit | <…> |
+| Backup-Restore-Test | quartalsweise; dokumentiert | <…> |
+
+---
+
+## Kategorie 5 — Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
+
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Disaster Recovery Plan | dokumentiert; jährlich getestet; Rollen + Verantwortlichkeiten benannt | <…> |
+| Recovery Point Objective (RPO) | ≤ <24h / 4h / 1h> | <…> |
+| Recovery Time Objective (RTO) | ≤ <4h / 1h / 15 min> | <…> |
+| Business Continuity Plan | für kritische Prozesse; jährliches Tabletop-Exercise | <…> |
+| Incident Response Plan | dokumentiert; Eskalations-Matrix; 24/7-Bereitschaft (für kritische Services) | <…> |
+
+---
+
+## Kategorie 6 — Regelmäßige Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
+
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Penetrations-Tests | extern beauftragt; mind. jährlich; bei Major-Releases zusätzlich | <…> |
+| Vulnerability-Scans | wöchentlich automatisiert (z. B. AEGIS, Nessus, Qualys, Trivy für Container) | <…> |
+| Code-Reviews | 4-Augen-Prinzip vor Merge | <…> |
+| Static Application Security Testing (SAST) | in CI-Pipeline (z. B. AEGIS, Semgrep, SonarQube) | <…> |
+| Dependency-Scanning | tagesaktuell (z. B. Dependabot, Snyk, AEGIS); CVE-Patches binnen <30 / 7 / 1> Tagen je nach Severity | <…> |
+| ISO 27001 / SOC 2 Type II | zertifiziert / re-zertifiziert jährlich | <…> |
+| Datenschutz-Schulungen | alle Mitarbeiter, jährliche Auffrischung | <…> |
+| Phishing-Simulation | mindestens halbjährlich | <…> |
+
+---
+
+## Kategorie 7 — Maßnahmen-Anpassung (Datenschutz-Management)
+
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Datenschutzbeauftragter (DSB) | bestellt nach Art. 37 DSGVO / § 38 BDSG; Kontakt veröffentlicht | <…> |
+| Verfahrensverzeichnis (Art. 30 DSGVO) | aktuell geführt; jährlich reviewed | <…> |
+| DSFA-Prozess (Art. 35 DSGVO) | dokumentiert; bei hohem Risiko durchgeführt | <…> |
+| Auftragsverarbeitungs-Register | für eigene Auftragsverarbeiter geführt; regelmäßiger Sub-Processor-Review | <…> |
+| Datenpannen-Meldeprozess | dokumentiert; 24-h-Erstmeldung an Verantwortlichen; 72-h-Aufsichtsbehörden-Meldung | <…> |
+| Privacy by Design / Default | in Software-Entwicklungs-Lifecycle integriert | <…> |
+| Vendor-Onboarding-Check | Datenschutz-Due-Diligence für jeden neuen Sub-Auftragsverarbeiter | <…> |
+| Change-Management | bei TOM-Änderungen Information des Verantwortlichen vor Wirksamwerden | <…> |
+| Awareness-Programm | regelmäßige Mitarbeiter-Sensibilisierung (Phishing, Datenschutz, Insider-Threat) | <…> |
+| Whistleblower-Channel | für Datenschutz-Verstöße; HinSchG-konform (DE) | <…> |
+
+---
+
+## Erweiterungen für besondere Risiko-Kategorien
+
+### Bei sensiblen Daten (Art. 9 / 10 DSGVO; Art. 5 lit. c revDSG)
+
+Zusätzlich zu den Standard-Maßnahmen:
+
+- **Tokenisierung** sensibler Felder (Gesundheits-IDs, Genetik-Marker, biometrische Templates)
+- **Confidential Computing** / Secure Enclaves (Intel SGX, AMD SEV) für Verarbeitung im Speicher
+- **Strikte Audit-Logs** mit verlängerter Retention (≥ 1 Jahr)
+- **4-Augen-Prinzip** für jeden Datenzugriff
+- **DSFA** verpflichtend
+- **Pseudonymisierung** als Default — Re-Identifikation nur über separat gespeicherten Schlüssel
+
+### Bei Finanzdaten (PCI-DSS-relevante Daten)
+
+- **PCI-DSS Level 1** Compliance bei großen Volumina (≥ 6 Mio. Transaktionen/Jahr)
+- **Tokenisierung** der Kartendaten (PSP-Token statt PAN)
+- **Network-Segmentation** (CDE-Trennung)
+- **HSM** für Schlüsselmaterial
+
+### Bei KRITIS / DORA (Finanzsektor)
+
+- **24/7-Security Operations Center (SOC)**
+- **§ 8a BSIG**-konforme Berichterstattung (DE)
+- **DORA Art. 19** ICT-Vorfall-Meldung — initialer Bericht innerhalb 4h, finaler Bericht innerhalb von 1 Monat
+- **TIBER-EU**-konforme Threat-Led Penetration Tests
+
+---
+
+## Versionierungs-Hinweis
+
+> Dieser TOM-Katalog wird **mindestens jährlich** durch den Auftragsverarbeiter überprüft und bei Änderungen mit neuer Versions-Nummer + Datum re-veröffentlicht. Wesentliche Änderungen werden dem Verantwortlichen vorab in Textform angekündigt; das Schutzniveau darf nicht unterschritten werden (siehe § 5.2 AVV).
+
+**Letztes Review**: <Datum>
+**Nächstes Review**: <Datum + 12 Monate>
+**Verantwortlich**: <Datenschutzbeauftragter / CISO>

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-UK-IDTA.md

@@ -0,0 +1,131 @@
+# Anhang E3 — UK International Data Transfer Addendum (IDTA)
+
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, gemäß § 119A Data Protection Act 2018 (UK), in Kraft seit 21. März 2022; Genehmigung durch UK Parliament am 21. März 2022, anwendbar seit 21. September 2022 (Übergangsphase bis 21. März 2024 für Altverträge).
+**Anwendungsfall**: Übermittlung personenbezogener Daten unter UK GDPR aus dem Vereinigten Königreich in ein Drittland ohne UK-Angemessenheitsbeschluss. Wird als **Addendum zu den EU-SCC 2021/914** verwendet — die EU-SCC bilden den Hauptklauselsatz, das IDTA passt sie an die UK-Rechtslage an.
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG / kein "Legal Advice" nach SRA Code of Conduct. Vor Verwendung anwaltliche Prüfung — insbesondere zur Wahl zwischen IDTA und UK Addendum to EU SCCs sowie zur TIA (UK ICO Guidance).
+**Quellen**: ICO Guidance — https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/
+
+---
+
+## Variant Selection — Welche Form wählen?
+
+Das UK-Regime kennt **zwei** alternative Mechanismen:
+
+| Variante | Wann wählen? |
+|----------|--------------|
+| **A. UK International Data Transfer Agreement (IDTA)** | Stand-alone-UK-Vertrag — wenn keine EU-SCC im Vertragsverhältnis vorliegen oder ein UK-only-Empfänger gewünscht ist. Eigenständige Klausel-Struktur. |
+| **B. UK International Data Transfer Addendum to the EU SCCs** | **Empfohlen für Multi-Jurisdiktions-Setups (EU + UK)**: die EU-SCC 2021/914 werden weiterverwendet, das Addendum modifiziert sie für das UK-Recht. Effizient bei vielen Vendoren. |
+
+**Empfehlung**: Variante B (Addendum) bei bestehenden EU-SCC-Verträgen — minimale Doppelarbeit. Dieser Anhang folgt **Variante B**.
+
+---
+
+## Part 1 — Tables
+
+### Table 1 — Parties and Signatures
+
+| Field | Exporter | Importer |
+|-------|----------|----------|
+| Start date | <Datum Vertragsbeginn> | (entsprechend) |
+| Parties' details — full legal name | <Datenexporteur — Firma> | <Datenimporteur — Firma> |
+| Trading name (if different) | <…> | <…> |
+| Main address | <Adresse UK> | <Adresse Drittland> |
+| Official registration number (if any) | <Companies-House-Nr.> | <…> |
+| Key Contact — full name + role | <…> | <…> |
+| Key Contact — contact details (email + phone) | <…> | <…> |
+| Signatures | <Unterschrift im Hauptvertrag> | <Unterschrift im Hauptvertrag> |
+
+### Table 2 — Selected SCCs, Modules and Selected Clauses
+
+| Field | Selection |
+|-------|-----------|
+| Addendum EU SCCs | ☐ Version of EU SCCs the Addendum applies to | EU SCCs Decision 2021/914 of 4 June 2021 |
+| Module in operation | ☐ Module 1 (Controller→Controller) <br> ☑ Module 2 (Controller→Processor) <br> ☐ Module 3 (Processor→Sub-Processor) <br> ☐ Module 4 (Processor→Controller) |
+| Clause 7 — Docking Clause | ☐ activated / ☑ not activated |
+| Clause 9 — Sub-processors | ☑ Option 2 — General authorisation, 30 calendar days notice |
+| Clause 11 — Optional Independent Dispute Resolution | ☐ activated / ☑ not activated |
+| Clause 17 — Governing Law | Law of the laws of <England and Wales / a relevant EU Member State> |
+| Clause 18 — Choice of Forum | <Courts of England and Wales / Member State courts> |
+| Annex 1A | Per Annex I.A of the EU SCCs Module 2 — see `AVV-anhang-SCC-module2-controller-processor.md` |
+| Annex 1B | Per Annex I.B as above |
+| Annex II (TOMs) | Per `AVV-anhang-TOMs.md` |
+| Annex III (Sub-processors) | Per `AVV-anhang-Sub-Processor-List.md` |
+
+### Table 3 — Appendix Information (UK-spezifische Felder)
+
+| Field | Entry |
+|-------|-------|
+| Annex 1A: List of Parties | (siehe Annex I.A der zugrundeliegenden EU SCCs) |
+| Annex 1B: Description of Transfer | (siehe Annex I.B der zugrundeliegenden EU SCCs) |
+| Annex II: Technical and Organisational Measures | (siehe `AVV-anhang-TOMs.md`) |
+| Annex III: List of Sub-processors (Module 2 / 3 only) | (siehe `AVV-anhang-Sub-Processor-List.md`) |
+
+### Table 4 — Ending the Addendum (Termination Right)
+
+> Welche Partei darf das Addendum gemäß Section 19 beenden, wenn der ICO eine "approved Addendum" Änderung publiziert?
+>
+> ☐ Importer — Datenimporteur
+> ☐ Exporter — Datenexporteur
+> **☑ neither Party — keine einseitige Beendigung; Änderungen werden einvernehmlich vereinbart**
+
+---
+
+## Part 2 — Mandatory Clauses
+
+> Vollständiger Text der "Mandatory Clauses" gemäß ICO IDTA Template — wortwörtlich zu übernehmen. Volltext-Quelle: ICO-Veröffentlichung "International Data Transfer Addendum to the EU Commission Standard Contractual Clauses" vom 21. März 2022.
+>
+> Kurzgliederung der Mandatory Clauses:
+>
+> 1. **Entering into the Addendum** — Vertragsschluss-Mechanik
+> 2. **Interpretation** — Definitionen (UK Data Protection Laws, ICO, etc.)
+> 3. **Hierarchy** — Vorrangregel: Addendum > EU SCCs (für UK-Datenübermittlungen)
+> 4. **Incorporation and Changes to the EU SCCs** — Modifikationen an Klauseln 6, 8, 13, 14, 17, 18 der EU SCCs
+> 5. **Amendments to this Addendum** — Änderungen nur bei ICO-Genehmigung oder beidseitiger Vereinbarung
+> 6. **Variations on End-Date** — Beendigungsrecht bei publizierter ICO-Änderung
+> 7. **Notices** — Mitteilungen schriftlich oder elektronisch
+> 8. **Severability** — salvatorische Klausel
+> 9. **Governing Law and Jurisdiction** — UK-Recht; Gerichtsstand England & Wales (oder Schottland / Nordirland)
+
+---
+
+## UK-spezifische Anpassungen ggü. EU SCCs
+
+| EU SCC Klausel | UK-IDTA-Modifikation |
+|----------------|----------------------|
+| Klausel 6 (Beschreibung der Übermittlung) | Verweise auf "Member States" werden zu "United Kingdom" — soweit anwendbar |
+| Klausel 8.7 (Sensible Daten) | Bezug auf UK GDPR Art. 9/10 statt EU GDPR |
+| Klausel 13 (Aufsichtsbehörde) | ICO (Information Commissioner's Office) statt EU-Aufsichtsbehörde — Anschrift: Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF |
+| Klausel 14 (Lokale Rechtsvorschriften) | Bezug auf Investigatory Powers Act 2016 + Schedule 21 DPA 2018 |
+| Klausel 15 (Behördenanfragen) | UK-Verfahren (z. B. National Security Notice, Technical Capability Notice) |
+| Klausel 17 (Anwendbares Recht) | UK-Recht (England & Wales, Schottland oder Nordirland) — nicht EU-Mitgliedstaatsrecht |
+| Klausel 18 (Gerichtsstand) | UK-Gerichte |
+
+---
+
+## TIA für UK-Übermittlungen — UK ICO Guidance
+
+UK ICO empfiehlt einen "**Transfer Risk Assessment (TRA)**" — funktional ähnlich dem TIA der EDPB, aber mit UK-spezifischen Bewertungen:
+
+1. **Identifikation des Drittlandes** + UK-Angemessenheitsstatus prüfen (UK-Adequacy-Liste — z. B. EU/EWR, Israel, Schweiz, Argentinien, Japan, Südkorea, Neuseeland, Uruguay, Andorra, Färöer, Guernsey, Jersey, Isle of Man, Kanada (kommerziell)).
+2. **Risikobewertung** der Empfängerlands-Rechtslage (Überwachungsgesetze, Rechtsschutz für Betroffene).
+3. **Supplementary Measures** — technisch (E2E-Verschlüsselung), vertraglich (Anfechtungspflicht), organisatorisch (Pseudonymisierung).
+4. **Restrisiko-Entscheidung**: Übermittlung zulässig / aussetzen / Empfänger wechseln.
+
+UK ICO stellt ein **TRA-Tool** bereit: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-transfer-risk-assessments/
+
+---
+
+## Multi-Jurisdiction-Hinweis
+
+Bei einem Vertrag, der **sowohl EU-DSGVO als auch UK GDPR** abdeckt (z. B. EU-Mutter mit UK-Tochter und gemeinsamem US-Vendor), gilt:
+
+- **EU SCC 2021/914** Module 2 — primärer Klauselsatz
+- **UK IDTA Addendum (Variante B)** — Erweiterung für UK-Datenübermittlungen
+- **CH revFADP-Anhang** — falls auch Schweizer Daten umfasst (siehe `AVV-anhang-CH-revDSG.md`)
+
+Ein einziger Vertragsbody mit drei kompatiblen Annexen — Single Source of Truth.
+
+---
+
+**Unterzeichnung**: gemeinsam mit den EU SCCs; gesonderte Unterschrift dieses Addendum nicht erforderlich, sofern die Tabellen 1–4 ausgefüllt und im Hauptvertrag inkorporiert sind.

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-standard-DE.md

@@ -0,0 +1,288 @@
+# Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO — Standard-DE
+
+**Version**: v1.0 (2026-05-05)
+**Vorlagen-Typ**: Auftragsverarbeitung (Art. 28 DSGVO) — NICHT gemeinsame Verantwortung (Art. 26 DSGVO; siehe `Joint-Controller-Vertrag-Art-26.md`)
+**Disclaimer**: Diese Vorlage stellt keine Rechtsberatung im Sinne § 2 RDG dar. Vor produktiver Verwendung ist eine individuelle anwaltliche Prüfung — insbesondere zur Drittlands-Konstellation, Sub-Auftragsverarbeiter-Kette und branchenspezifischen Anforderungen (BDSG, TDDDG, GeschGehG, sektorspezifische Aufsichtsregelungen) — erforderlich.
+
+---
+
+## Vertragsparteien
+
+**Verantwortlicher** (im Folgenden: „Verantwortlicher" oder „Auftraggeber"):
+
+> <Firma / Name>
+> <Anschrift>
+> <Vertretungsberechtigt: Name, Funktion>
+> <USt-IdNr / HRB-Nummer / Registergericht>
+> Datenschutzbeauftragter: <Name + Kontakt> (sofern bestellt nach Art. 37 DSGVO / § 38 BDSG)
+
+**Auftragsverarbeiter** (im Folgenden: „Auftragsverarbeiter" oder „Auftragnehmer"):
+
+> <Firma / Name>
+> <Anschrift>
+> <Vertretungsberechtigt: Name, Funktion>
+> <USt-IdNr / HRB-Nummer / Registergericht>
+> Datenschutzbeauftragter: <Name + Kontakt> (sofern bestellt)
+> EU-Vertreter nach Art. 27 DSGVO: <Name + Kontakt> (sofern Auftragsverarbeiter außerhalb EU/EWR niedergelassen)
+
+— im Folgenden gemeinsam: „die Parteien" —
+
+---
+
+## Präambel
+
+Der Verantwortliche und der Auftragsverarbeiter haben am <Datum> einen Hauptvertrag über <Bezeichnung der Leistung — z. B. „die Bereitstellung einer SaaS-Plattform zur Buchungsverwaltung", „Hosting-Leistungen", „Lohnabrechnung"> geschlossen (im Folgenden: „Hauptvertrag"). Im Rahmen der Erbringung dieser Leistung verarbeitet der Auftragsverarbeiter personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 Abs. 3 DSGVO und ist als Anlage Bestandteil des Hauptvertrags. Im Konfliktfall zwischen Hauptvertrag und diesem Vertrag gehen die Regelungen dieses Vertrags vor, soweit datenschutzrechtliche Pflichten betroffen sind.
+
+---
+
+## § 1 Gegenstand und Dauer der Verarbeitung (Art. 28 Abs. 3 lit. a DSGVO)
+
+**§ 1.1 Gegenstand**: Gegenstand der Verarbeitung im Auftrag ist die Erbringung der im Hauptvertrag vereinbarten Leistung sowie der in **Anhang A** näher beschriebenen Verarbeitungstätigkeiten.
+
+**§ 1.2 Dauer**: Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags. Sie beginnt am <Startdatum> und endet mit Beendigung des Hauptvertrags, spätestens jedoch mit vollständigem Abschluss der nach § 9 dieses Vertrags geschuldeten Datenrückgabe oder -löschung.
+
+---
+
+## § 2 Art und Zweck der Verarbeitung (Art. 28 Abs. 3 DSGVO)
+
+**§ 2.1**: Art und Zweck der Verarbeitung im Auftrag sind in **Anhang A** detailliert beschrieben.
+
+**§ 2.2**: Die Verarbeitung umfasst insbesondere folgende Tätigkeiten:
+
+- ☐ Erhebung
+- ☐ Erfassung
+- ☐ Organisation
+- ☐ Ordnung
+- ☐ Speicherung
+- ☐ Anpassung / Veränderung
+- ☐ Auslesen
+- ☐ Abfragen
+- ☐ Verwendung
+- ☐ Offenlegung durch Übermittlung
+- ☐ Verbreitung / sonstige Bereitstellung
+- ☐ Abgleich / Verknüpfung
+- ☐ Einschränkung
+- ☐ Löschung / Vernichtung
+
+(Zutreffendes ankreuzen oder in Anhang A spezifizieren)
+
+**§ 2.3**: Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters — insbesondere für eigenes Marketing, Profilbildung oder Datenanalyse außerhalb der Auftragsausführung — ist ausgeschlossen, sofern nicht gesetzlich zulässig (z. B. statistische Telemetrie nach Art. 6 Abs. 1 lit. f DSGVO mit nachweislich überwiegendem Interesse) und in **Anhang A** ausdrücklich beschrieben.
+
+---
+
+## § 3 Art der personenbezogenen Daten und Kategorien betroffener Personen
+
+**§ 3.1 Datenkategorien**: Die im Auftrag verarbeiteten Datenkategorien sind in **Anhang A** abschließend aufgeführt.
+
+**§ 3.2 Besondere Kategorien**: Eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung) sowie strafrechtlicher Daten nach Art. 10 DSGVO erfolgt **<nur soweit in Anhang A explizit ausgewiesen / nicht>**. Werden solche Daten verarbeitet, gelten erhöhte TOMs nach **Anhang B**.
+
+**§ 3.3 Kategorien Betroffener**: Die Kategorien betroffener Personen sind in **Anhang A** beschrieben (z. B. Kunden des Verantwortlichen, Mitarbeiter, Lieferanten, Website-Besucher, Endnutzer einer App).
+
+---
+
+## § 4 Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 lit. b–h DSGVO)
+
+**§ 4.1 Weisungsgebundenheit (Art. 28 Abs. 3 lit. a, Art. 29 DSGVO)**: Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Dies gilt auch für die Übermittlung in ein Drittland oder an eine internationale Organisation, sofern nicht eine Verpflichtung nach Unionsrecht oder mitgliedstaatlichem Recht besteht; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen die rechtliche Anforderung vor der Verarbeitung mit, sofern das Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen DSGVO oder andere Datenschutzbestimmungen verstößt, hat er den Verantwortlichen unverzüglich zu informieren.
+
+**§ 4.2 Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO)**: Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung wirkt über das Beschäftigungsverhältnis hinaus fort.
+
+**§ 4.3 Sicherheit der Verarbeitung (Art. 28 Abs. 3 lit. c, Art. 32 DSGVO)**: Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Diese sind in **Anhang B** spezifiziert. Änderungen der TOMs sind zulässig, soweit das Schutzniveau der DSGVO nicht unterschritten wird; wesentliche Änderungen sind dem Verantwortlichen vorab in Textform mitzuteilen.
+
+**§ 4.4 Sub-Auftragsverarbeiter (Art. 28 Abs. 2, 4 DSGVO)**: Geregelt in § 6 dieses Vertrags.
+
+**§ 4.5 Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)**: Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenanfragen nach Art. 12–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Entscheidungen im Einzelfall einschließlich Profiling). Anfragen Betroffener, die direkt an den Auftragsverarbeiter gerichtet werden, leitet dieser unverzüglich — spätestens innerhalb von <72 Stunden / 5 Werktagen> — an den Verantwortlichen weiter und beantwortet sie nicht selbst, sofern keine ausdrückliche Weisung vorliegt.
+
+**§ 4.6 Unterstützung bei DSGVO-Pflichten des Verantwortlichen (Art. 28 Abs. 3 lit. f DSGVO)**: Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung von Art. 32–36 DSGVO, insbesondere:
+
+- Sicherheit der Verarbeitung (Art. 32),
+- Meldung von Datenschutzverletzungen an die Aufsichtsbehörde (Art. 33),
+- Benachrichtigung der betroffenen Person (Art. 34),
+- Datenschutz-Folgenabschätzung (Art. 35),
+- vorherige Konsultation der Aufsichtsbehörde (Art. 36).
+
+**§ 4.7 Meldung von Datenschutzverletzungen (Art. 33 Abs. 2 DSGVO)**: Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von **24 Stunden** nach Kenntniserlangung. Die Meldung enthält mindestens:
+
+a) Beschreibung der Art der Verletzung (Kategorien und ungefähre Anzahl betroffener Personen + Datensätze),
+b) Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle,
+c) wahrscheinliche Folgen der Verletzung,
+d) ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Eindämmung.
+
+**§ 4.8 Datenrückgabe / Löschung (Art. 28 Abs. 3 lit. g DSGVO)**: Geregelt in § 9 dieses Vertrags.
+
+**§ 4.9 Nachweis und Audits (Art. 28 Abs. 3 lit. h DSGVO)**: Geregelt in § 8 dieses Vertrags. Audit-Varianten siehe **Anhang D**.
+
+**§ 4.10 Datenschutzbeauftragter**: Der Auftragsverarbeiter benennt einen Datenschutzbeauftragten nach Art. 37 DSGVO / § 38 BDSG, sofern die gesetzlichen Voraussetzungen vorliegen, und teilt dessen Kontaktdaten dem Verantwortlichen mit.
+
+**§ 4.11 Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO)**: Der Auftragsverarbeiter führt ein Verzeichnis aller im Auftrag durchgeführten Kategorien von Verarbeitungstätigkeiten und stellt es der Aufsichtsbehörde sowie auf Anforderung dem Verantwortlichen zur Verfügung.
+
+**§ 4.12 EU-Vertreter (Art. 27 DSGVO)**: Hat der Auftragsverarbeiter keine Niederlassung in der EU/EWR, benennt er schriftlich einen Vertreter in der Union und teilt dessen Kontaktdaten dem Verantwortlichen mit. Der Vertreter ist in **Anhang A** zu spezifizieren.
+
+---
+
+## § 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
+
+**§ 5.1**: Der Auftragsverarbeiter setzt zum Zeitpunkt des Vertragsschlusses die in **Anhang B (TOM-Katalog)** beschriebenen technischen und organisatorischen Maßnahmen um. Sie gewährleisten ein dem Risiko angemessenes Schutzniveau unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.
+
+**§ 5.2**: Die TOMs werden vom Auftragsverarbeiter regelmäßig — mindestens **jährlich** — überprüft, evaluiert und an den Stand der Technik sowie an veränderte Risikolagen angepasst.
+
+**§ 5.3 Pseudonymisierung & Verschlüsselung**: Personenbezogene Daten werden nach dem Stand der Technik bei Übertragung (TLS ≥ 1.2, vorzugsweise 1.3) und Speicherung (AES-256 oder gleichwertig) verschlüsselt; Pseudonymisierung erfolgt, wo nach Risikoabwägung erforderlich oder gesetzlich geboten.
+
+**§ 5.4 Belastbarkeit & Wiederherstellbarkeit**: Der Auftragsverarbeiter gewährleistet die Verfügbarkeit und Belastbarkeit der Systeme sowie die rasche Wiederherstellbarkeit nach physischen oder technischen Zwischenfällen (Backup-Konzept; RPO/RTO siehe **Anhang B**).
+
+---
+
+## § 6 Sub-Auftragsverarbeiter (Art. 28 Abs. 2, 4 DSGVO)
+
+**§ 6.1 Allgemeine Genehmigung**: Der Verantwortliche erteilt dem Auftragsverarbeiter eine **<allgemeine / spezifische>** vorherige Genehmigung zur Hinzuziehung von Sub-Auftragsverarbeitern. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in **Anhang C (Sub-Auftragsverarbeiter-Liste)** abschließend benannt.
+
+**§ 6.2 Änderungs-Mitteilung**: Bei beabsichtigter Hinzuziehung weiterer oder Ersetzung bestehender Sub-Auftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen mindestens **30 Kalendertage** im Voraus in Textform unter Angabe von Name, Anschrift, Verarbeitungstätigkeit und Standort der Verarbeitung.
+
+**§ 6.3 Widerspruchsrecht**: Der Verantwortliche kann der Änderung innerhalb von **14 Kalendertagen** ab Mitteilung aus berechtigten datenschutzrechtlichen Gründen widersprechen. Im Widerspruchsfall sind die Parteien zu Verhandlungen verpflichtet; kommt keine Einigung zustande, steht dem Verantwortlichen ein außerordentliches Kündigungsrecht für die betroffene Leistung zu.
+
+**§ 6.4 Vertragliche Weitergabe der Pflichten**: Der Auftragsverarbeiter verpflichtet jeden Sub-Auftragsverarbeiter durch schriftlichen Vertrag (Auftragsverarbeitungsverhältnis nach Art. 28 Abs. 4 DSGVO) zu denselben Datenschutzpflichten, die diesem Vertrag zugrunde liegen — insbesondere zu denselben TOMs.
+
+**§ 6.5 Haftung**: Kommt ein Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung dieser Pflichten durch den Sub-Auftragsverarbeiter wie für eigenes Verschulden.
+
+**§ 6.6 Drittland-Sub-Auftragsverarbeiter**: Befindet sich ein Sub-Auftragsverarbeiter in einem Drittland ohne Angemessenheitsbeschluss nach Art. 45 DSGVO, schließt der Auftragsverarbeiter geeignete Garantien nach Art. 46 DSGVO ab (insb. SCC Module 3 — siehe **Anhang E**) und führt ein Transfer Impact Assessment (TIA) durch.
+
+**§ 6.7 Konzern-Privileg**: Konzerninterne Dienstleister gelten nicht automatisch als Sub-Auftragsverarbeiter; ihre Hinzuziehung ist gleichwohl in der Liste in **Anhang C** transparent zu machen.
+
+---
+
+## § 7 Unterstützung bei Betroffenenrechten und Drittansprüchen
+
+**§ 7.1**: Über die Pflichten aus § 4.5 hinaus gilt: Macht eine betroffene Person Ansprüche nach Art. 82 DSGVO (Schadensersatz) oder eine Aufsichtsbehörde Auskunfts-, Untersuchungs- oder Anordnungsrechte nach Art. 58 DSGVO geltend, unterstützen sich die Parteien gegenseitig durch unverzügliche Information und Bereitstellung relevanter Unterlagen.
+
+**§ 7.2 Kostenregelung**: Der Aufwand für Unterstützungsleistungen ist im Hauptvertrag oder bei Erstmaßnahme einvernehmlich zu pauschalieren. Erforderliche Erstmaßnahmen zur Wahrung von Betroffenenrechten sind nicht gesondert vergütungspflichtig, sofern sie auf Pflichtverletzungen des Auftragsverarbeiters zurückzuführen sind.
+
+---
+
+## § 8 Nachweis-, Kontroll- und Audit-Rechte (Art. 28 Abs. 3 lit. h DSGVO)
+
+**§ 8.1 Nachweispflicht**: Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses Vertrags zur Verfügung — insbesondere TOMs-Beschreibung, ISO-27001-Zertifikate, SOC-2-Berichte, BSI-Grundschutz-Testate, branchenspezifische Audits (z. B. KRITIS, TISAX).
+
+**§ 8.2 Audit-Recht**: Der Verantwortliche hat das Recht, die Einhaltung der Datenschutzpflichten — auch durch Hinzuziehung qualifizierter Dritter — zu überprüfen. Die konkrete Ausgestaltung folgt einer der drei Audit-Varianten in **Anhang D**:
+
+- **Variante A**: Vor-Ort-Audit
+- **Variante B**: Remote-Audit (Dokumenten- und System-Review)
+- **Variante C**: SOC-2-/ISO-27001-Stellvertreter-Audit (Drittprüfer-Bericht akzeptiert)
+
+**§ 8.3 Häufigkeit und Anlass**: Audits erfolgen **<einmal jährlich / nach Risiko-orientiertem Ermessen>**, anlassbezogen darüber hinaus bei begründetem Verdacht oder nach einem Datenschutzvorfall.
+
+**§ 8.4 Vertraulichkeit & Geschäftsbetrieb**: Audits sind unter Wahrung der Vertraulichkeit und mit angemessener Vorankündigung (mindestens **14 Kalendertage** außer im Anlassfall) durchzuführen; sie dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.
+
+**§ 8.5 Kosten**: Jede Partei trägt ihre eigenen Kosten. Ergibt das Audit wesentliche Verstöße, trägt der Auftragsverarbeiter die angemessenen Auditor-Kosten.
+
+---
+
+## § 9 Datenrückgabe und Löschung bei Vertragsende (Art. 28 Abs. 3 lit. g DSGVO)
+
+**§ 9.1**: Nach Beendigung der Vertragsleistung — spätestens **<30 / 60 / 90> Kalendertage** nach Vertragsende — hat der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche personenbezogenen Daten
+
+a) **zurückzugeben** in einem maschinenlesbaren, gängigen Format (z. B. JSON, CSV, XML), oder
+b) **zu löschen** und die Löschung in Textform zu bestätigen.
+
+**§ 9.2 Backup-Löschfrist**: Daten in Datensicherungs-/Backup-Systemen sind spätestens innerhalb von **<90 / 180> Kalendertagen** zu löschen oder bis zur Löschung gegen Zugriff zu sperren.
+
+**§ 9.3 Gesetzliche Aufbewahrungspflichten**: Soweit gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO, § 16 TDDDG) einer Löschung entgegenstehen, gilt ein Verarbeitungsverbot nach Art. 18 DSGVO; die Daten werden nach Ablauf der Aufbewahrungsfrist gelöscht.
+
+**§ 9.4 Löschnachweis**: Auf Anforderung weist der Auftragsverarbeiter die ordnungsgemäße Löschung — einschließlich aller bei Sub-Auftragsverarbeitern verarbeiteten Kopien — durch Löschprotokoll oder Lösch-Zertifikat nach.
+
+---
+
+## § 10 Drittlands-Übermittlung (Kapitel V DSGVO)
+
+**§ 10.1 Grundsatz**: Eine Übermittlung in ein Drittland oder an eine internationale Organisation erfolgt nur auf dokumentierte Weisung des Verantwortlichen oder soweit gesetzlich vorgeschrieben.
+
+**§ 10.2 Garantien**: Mangels Angemessenheitsbeschlusses nach Art. 45 DSGVO werden geeignete Garantien nach Art. 46 DSGVO vereinbart:
+
+- **EU/EWR/Angemessenheitsbeschluss** (Art. 45): keine zusätzlichen Garantien erforderlich.
+- **EU-US Data Privacy Framework**: aktive Zertifizierung des Empfängers prüfen (https://www.dataprivacyframework.gov).
+- **Drittland ohne Angemessenheit**: SCC 2021/914 — Module 2 (Controller→Processor) oder Module 3 (Processor→Subprocessor) — siehe **Anhang E (SCC-Module-2)** bzw. **AVV-anhang-SCC-module3-processor-subprocessor.md**.
+- **Vereinigtes Königreich**: UK International Data Transfer Addendum — siehe **AVV-anhang-UK-IDTA.md**.
+- **Schweiz**: Anhang nach revDSG — siehe **AVV-anhang-CH-revDSG.md**.
+
+**§ 10.3 Transfer Impact Assessment (TIA)**: Vor jeder Drittlands-Übermittlung führt der Auftragsverarbeiter — in Abstimmung mit dem Verantwortlichen — ein TIA gemäß EDPB Recommendations 01/2020 durch und dokumentiert das Ergebnis.
+
+**§ 10.4 Behördenanfragen**: Erhält der Auftragsverarbeiter eine rechtsverbindliche Anordnung einer Drittland-Behörde zur Offenlegung personenbezogener Daten, informiert er den Verantwortlichen unverzüglich (sofern rechtlich zulässig) und prüft alle verfügbaren Rechtsmittel.
+
+---
+
+## § 11 Haftung und Schadensersatz
+
+**§ 11.1**: Im Außenverhältnis haften Verantwortlicher und Auftragsverarbeiter gegenüber Betroffenen nach Art. 82 DSGVO als Gesamtschuldner.
+
+**§ 11.2 Innenausgleich**: Im Innenverhältnis trägt jede Partei den Anteil am Schaden, der ihrem Verantwortungsbeitrag entspricht. Verschulden Dritter (Sub-Auftragsverarbeiter) wird dem Auftragsverarbeiter nach § 6.5 zugerechnet.
+
+**§ 11.3 Bußgelder**: Bußgelder nach Art. 83 DSGVO trägt diejenige Partei, der die Pflichtverletzung zuzurechnen ist.
+
+**§ 11.4 Haftungsbegrenzungen**: Etwaige Haftungsbegrenzungen aus dem Hauptvertrag gelten nicht für Schadensersatzansprüche aus DSGVO-Pflichtverletzungen, soweit gesetzlich unzulässig (insb. Art. 82 DSGVO).
+
+---
+
+## § 12 Schlussbestimmungen
+
+**§ 12.1 Schriftform**: Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform (Art. 28 Abs. 9 DSGVO erlaubt elektronische Form). Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.
+
+**§ 12.2 Salvatorische Klausel**: Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt diejenige wirksame Regelung, die dem mit der unwirksamen Bestimmung verfolgten wirtschaftlichen Zweck am nächsten kommt.
+
+**§ 12.3 Anwendbares Recht**: Für diesen Vertrag gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts und unter Wahrung zwingender Vorschriften der DSGVO.
+
+**§ 12.4 Gerichtsstand**: Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist <Sitz des Verantwortlichen>, sofern beide Parteien Kaufleute sind.
+
+**§ 12.5 Vorrang**: Im Konfliktfall gehen die Regelungen dieses Vertrags den Regelungen des Hauptvertrags vor, soweit datenschutzrechtliche Pflichten betroffen sind.
+
+---
+
+## Anhänge
+
+| Anhang | Titel | Verweis |
+|--------|-------|---------|
+| A | Beschreibung der Verarbeitung | (eingebunden — analog SCC Annex I) |
+| B | TOM-Katalog (Art. 32 DSGVO) | `AVV-anhang-TOMs.md` |
+| C | Sub-Auftragsverarbeiter-Liste | `AVV-anhang-Sub-Processor-List.md` |
+| D | Audit-Klausel-Varianten | `AVV-anhang-Audit-Klausel-Varianten.md` |
+| E | Drittland-Module (SCC 2/3, UK-IDTA, CH) | `AVV-anhang-SCC-module2-controller-processor.md` / `AVV-anhang-SCC-module3-processor-subprocessor.md` / `AVV-anhang-UK-IDTA.md` / `AVV-anhang-CH-revDSG.md` |
+
+---
+
+## Anhang A — Beschreibung der Verarbeitung
+
+**A.1 Art und Zweck der Verarbeitung**:
+> <Z. B. „Hosting und Bereitstellung der SaaS-Anwendung XYZ einschließlich Datenbank-, Backup- und Support-Leistungen zum Zweck der Vertragserfüllung gemäß Hauptvertrag.">
+
+**A.2 Datenkategorien**:
+> <Z. B. Stammdaten (Name, Anschrift, E-Mail), Vertragsdaten (Bestellungen, Rechnungen), Nutzungsdaten (Login-Zeitstempel, IP-Adresse), Kommunikationsdaten (Support-Tickets), Zahlungsdaten (über externen PSP — siehe Anhang C).>
+
+**A.3 Besondere Datenkategorien (Art. 9/10 DSGVO)**:
+> <keine / Beschreibung mit erhöhten TOMs nach Anhang B>
+
+**A.4 Kategorien betroffener Personen**:
+> <Kunden, Mitarbeiter, Lieferanten, App-Endnutzer, Website-Besucher, …>
+
+**A.5 Häufigkeit der Übermittlung**:
+> <kontinuierlich / einmalig / periodisch>
+
+**A.6 Aufbewahrungsdauer**:
+> <Vertragsdauer + 30 Tage / nach gesetzlicher Aufbewahrungsfrist / …>
+
+**A.7 Verarbeitungs-Standorte**:
+> <Rechenzentrums-Standorte mit Land + Region; Sub-Auftragsverarbeiter-Standorte siehe Anhang C>
+
+**A.8 Empfänger / Empfänger-Kategorien**:
+> <intern: Mitarbeiter Auftragsverarbeiter; extern: Sub-Auftragsverarbeiter laut Anhang C>
+
+**A.9 Drittlands-Übermittlung**:
+> <ja / nein; Garantie-Mechanismus laut Anhang E>
+
+---
+
+**Ort, Datum, Unterschriften**:
+
+> _______________________________
+> Verantwortlicher: <Name, Funktion>
+> Ort, Datum
+
+> _______________________________
+> Auftragsverarbeiter: <Name, Funktion>
+> Ort, Datum