Auftragsverarbeitungsvereinbarung
Auftragsverarbeitungsvereinbarung (AVV)
gemäß Art. 28 Abs. 3 DSGVO
zwischen dem Kunden (nachfolgend „Verantwortlicher") und
Dessert Management UG (haftungsbeschränkt)
Markgrafenstr. 64, 10969 Berlin
HRB 279394 B, Amtsgericht Berlin (Charlottenburg)
(nachfolgend „Auftragsverarbeiter")
1. Gegenstand und Dauer der Auftragsverarbeitung
1.1 Gegenstand des Auftrags ist die Bereitstellung der SaaS-Anwendung „Label Accounting Manager / LAM" durch den Auftragsverarbeiter und die in diesem Rahmen erfolgende Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen.
1.2 Die Verarbeitung erfolgt für die Dauer des Hauptvertrags (AGB / individuelle Vertragsvereinbarung) und endet mit dessen Beendigung.
2. Art, Umfang und Zweck der Verarbeitung
2.1 Art der Verarbeitung: Erheben, Speichern, Auslesen, Abfragen, Verwenden, Anpassen, Verändern, Übermitteln, Sichern, Löschen sowie Vernichten von personenbezogenen Daten im Rahmen der Nutzung der SaaS-Anwendung.
2.2 Zweck: Bereitstellung der vertraglich vereinbarten Funktionen von LAM, insbesondere Verwaltung von Label-, Royalty-, Abrechnungs- und Künstlerdaten sowie zugehöriger Reports und Dokumente.
2.3 Umfang: Die Verarbeitung erfolgt im Umfang der Nutzung der jeweiligen Funktionen durch den Verantwortlichen.
3. Kategorien betroffener Personen
Von der Verarbeitung können folgende Kategorien betroffener Personen umfasst sein:
- Artists, Remixer und Feature-Beteiligte
- Vertragspartner:innen, Manager:innen, Agenturen
- Mitarbeitende des Verantwortlichen
- Ansprechpartner:innen bei Distributoren, Verlagen, Labels
- Kund:innen und Endkund:innen, soweit deren Daten verarbeitet werden
4. Kategorien personenbezogener Daten
Im Rahmen der Auftragsverarbeitung können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:
- Stammdaten (Name, Klarname, Künstlername, Anschrift)
- Kontaktdaten (E-Mail, Telefon, Ansprechpartner:innen)
- Bankverbindung, IBAN, Zahlungsdaten
- Steuerliche Daten (USt-ID, Steuernummer, BZSt-Nr., Wohnsitzland)
- Vertragsdaten (Verträge, Beteiligungen, Konditionen)
- Abrechnungs- und Auszahlungsdaten, Royalty-Anteile
- Login-/Account-Daten (E-Mail, Passwort-Hash, 2FA-Sekrete)
- Aktivitätsdaten (Login-Zeitpunkte, Audit-Logs)
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden grundsätzlich nicht verarbeitet.
5. Pflichten des Auftragsverarbeiters
5.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit nicht eine Verpflichtung nach dem Unionsrecht oder Recht eines Mitgliedstaats besteht.
5.2 Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5.3 Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM, siehe Anlage in Ziff. 11).
5.4 Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten zur Beantwortung von Anträgen Betroffener nach Art. 12–23 DSGVO.
5.5 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten.
5.6 Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn er eine Weisung für rechtswidrig hält.
5.7 Nach Abschluss der Erbringung der Verarbeitungsleistungen werden alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder gelöscht oder zurückgegeben, sofern keine Verpflichtung zur Speicherung besteht.
6. Pflichten des Verantwortlichen
6.1 Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Betroffenenrechte verantwortlich.
6.2 Der Verantwortliche erteilt die Weisungen in Bezug auf die Verarbeitung in der Regel über die Bedienung und Nutzung der SaaS-Anwendung. Schriftliche Weisungen sind ergänzend möglich.
6.3 Der Verantwortliche benennt einen Ansprechpartner für datenschutzrechtliche Fragen.
7. Unterauftragsverhältnisse
7.1 Der Verantwortliche stimmt der Einschaltung folgender Kategorien von Unterauftragsverarbeitern zu:
- Hosting- und Infrastruktur-Anbieter (IONOS / vergleichbare EU-Anbieter)
- E-Mail-Versanddienste für transaktionale Nachrichten
- Zahlungsdienstleister (z. B. PayPal)
- Backup- und Off-Site-Speicheranbieter (verschlüsselt)
- Externe Entwicklungsdienstleister oder Wartungsdienste, soweit erforderlich
7.2 Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter dieselben Datenschutzpflichten einhält, wie sie in dieser AVV festgelegt sind.
7.3 Bei beabsichtigten Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informiert der Auftragsverarbeiter den Verantwortlichen. Der Verantwortliche kann dieser Änderung innerhalb von 30 Tagen aus wichtigem datenschutzrechtlichen Grund widersprechen.
8. Datenschutzverletzungen
8.1 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten.
8.2 Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben.
9. Kontrollrechte des Verantwortlichen
9.1 Der Verantwortliche hat das Recht, die Einhaltung dieser AVV sowie der gesetzlichen Vorgaben in angemessenem Umfang zu überprüfen.
9.2 Die Kontrolle kann durch Vorlage geeigneter Nachweise (z. B. Zertifikate, Auditberichte, Selbstauskünfte), schriftliche Auskünfte oder, soweit erforderlich und nach angemessener Vorankündigung, durch eine Vor-Ort-Prüfung erfolgen.
9.3 Vor-Ort-Prüfungen erfolgen so, dass der Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigt wird.
10. Drittstaatentransfer
10.1 Eine Verarbeitung personenbezogener Daten in einem Drittstaat außerhalb der EU/EWR findet nur statt, soweit ein angemessenes Datenschutzniveau gewährleistet ist.
10.2 Geeignete Garantien können insbesondere durch EU-Standardvertragsklauseln oder einen Angemessenheitsbeschluss der EU-Kommission hergestellt werden.
11. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft insbesondere folgende technische und organisatorische Maßnahmen:
- Zutrittskontrolle: Server in zutrittsgesicherten Rechenzentren in Deutschland (IONOS o. vergleichbar)
- Zugangskontrolle: Login mit individuellen Benutzerkonten, sichere Passwort-Hashes (bcrypt), optionale Zwei-Faktor-Authentifizierung
- Zugriffskontrolle: Rollen- und Rechtekonzept, Trennung nach Mandanten (Schema-per-Tenant)
- Weitergabekontrolle: Verschlüsselung der Datenübertragung (TLS/HTTPS), verschlüsselte Off-Site-Backups
- Eingabekontrolle: Audit-Log relevanter Vorgänge
- Auftragskontrolle: Schriftliche Verträge mit allen Unterauftragsverarbeitern
- Verfügbarkeitskontrolle: Tägliche Backups mit Mehrfach-Generationenvorhaltung (lokal 7d/4w/3m, Off-Site 30d/13w/12m), Hot-Standby-Replikation
- Trennungskontrolle: Strikte Mandantentrennung in der Datenbank
- Wiederherstellbarkeit: Dokumentierte Restore-Prozesse, regelmäßige Wiederherstellungs-Tests
- Verfahren zur regelmäßigen Überprüfung: Sicherheits-Reviews, Update-Pipeline mit automatisierten Tests
12. Haftung
12.1 Für Schadensersatz gilt Art. 82 DSGVO.
12.2 Im Innenverhältnis tragen die Parteien Verantwortung nach dem Anteil ihres jeweiligen Verschuldens.
13. Schlussbestimmungen
13.1 Sollten einzelne Bestimmungen dieser AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
13.2 Änderungen und Ergänzungen dieser AVV bedürfen der Textform.
13.3 Es gilt das Recht der Bundesrepublik Deutschland.
13.4 Gerichtsstand ist Berlin, soweit gesetzlich zulässig.
Stand: 16.05.2026