Auftragsverarbeitungsvertrag (AVV) – Art. 28 DSGVO
für die Nutzung der Plattform „NISV System“
Version: 1.2 | Stand: 05.03.2026
0. Digitale Geltung / Abschluss
Dieser Auftragsverarbeitungsvertrag („AVV“) wird digital bereitgestellt und gilt als abgeschlossen, sobald der Auftraggeber
(Schulungsträger) ihn im Rahmen der Registrierung/Bestellung akzeptiert (z. B. per Checkbox/Klick) oder die Plattform nach
Bereitstellung dieses AVV nutzt. Eine eigenhändige Unterschrift ist hierfür nicht erforderlich.
Dieser AVV ergänzt die vertraglichen Regelungen (z. B. Angebot/Vertrag/AGB) zwischen den Parteien. Im Widerspruchsfall
haben die Regelungen dieses AVV für datenschutzrechtliche Fragen Vorrang.
1. Parteien
1.1 Auftraggeber (Verantwortlicher) gemäß Art. 4 Nr. 7 DSGVO
Schulungsträger/Kunde: (Daten ergeben sich aus dem Kundenkonto / der Bestellung)
Vertreten durch: (laut Kundenkonto)
Anschrift: (laut Kundenkonto)
E-Mail: (laut Kundenkonto)
(nachfolgend „Auftraggeber“)
1.2 Auftragnehmer (Auftragsverarbeiter) gemäß Art. 4 Nr. 8 DSGVO
NISV System – Einzelunternehmung
Inhaberin: Tugba Özkaya
Auf dem Gries 17, 89312 Günzburg, Deutschland
Telefon: +49 (0) 174 180 83 85
E-Mail: info@nisv-system.de
(nachfolgend „Auftragnehmer“)
2. Gegenstand und Dauer der Verarbeitung
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers
im Rahmen der Nutzung der Plattform „NISV System“ (SaaS-Lern- und Kursverwaltungssystem).
Die Verarbeitung beginnt mit Vertragsabschluss/Account-Erstellung und dauert für die Laufzeit des Nutzungsvertrags/der AGB
sowie bis zur vollständigen Löschung/Rückgabe gemäß Ziffer 11 an.
2a. Klarstellung: Rolle des Auftragnehmers (nur Software)
Der Auftragnehmer ist ausschließlich Anbieter einer technischen Softwareplattform. Der Auftragnehmer ist keine Schule,
Akademie, Zertifizierungsstelle oder prüfende Stelle und erbringt keine fachliche, pädagogische, medizinische oder rechtliche Beratung.
Der Auftragnehmer ist insbesondere nicht verantwortlich für die inhaltliche Ausgestaltung von Schulungen oder für eine NiSV-Konformität.
Der Auftragnehmer ist zudem zu keinem Verband/Verein als Schulungsträger-Mitglied verpflichtet; die Plattform steht unabhängig als Softwarelösung zur Verfügung.
3. Art und Zweck der Verarbeitung
3.1 Art der Verarbeitung
- Erfassen, Speichern, Ordnen, Strukturieren, Übermitteln, Bereitstellen, Auslesen, Abfragen, Anzeigen, Exportieren (PDF/Excel), Löschen
- Hosting und technischer Betrieb der Plattform (inkl. Wartung, Updates, Fehleranalyse, Protokollierung sicherheitsrelevanter Ereignisse)
3.2 Zwecke der Verarbeitung
- Bereitstellung der Plattformfunktionen (Benutzer-/Kursverwaltung, Lernfortschritt, Prüfungsstatus)
- Bereitstellung und Auslieferung hochgeladener Lerninhalte (z. B. PDFs, Videos) und Chat-Anhänge (sofern genutzt)
- Erstellung/Export von Auswertungen im Bereich „Statistik & Fortschritt“ (PDF/Excel) je Schüler/Teilnehmer
- IT-Sicherheit, Missbrauchsprävention und Aufrechterhaltung eines stabilen Systembetriebs
3.3 Dateien/Uploads/Chat (besondere Hinweise)
Der Auftraggeber kann über die Plattform eigene Inhalte hochladen oder bereitstellen (z. B. Texte, PDF-Dateien, Videos)
und im Chat Nachrichten sowie Dateianhänge an Teilnehmer senden. Diese Inhalte können personenbezogene Daten enthalten.
Der Auftraggeber entscheidet eigenverantwortlich, welche personenbezogenen Daten in Uploads/Chat-Inhalten enthalten sind,
und stellt sicher, dass hierfür eine Rechtsgrundlage besteht (z. B. Vertrag, gesetzliche Pflicht oder Einwilligung).
3.4 Protokollierung / Missbrauchserkennung
Zur Aufrechterhaltung der Systemsicherheit und zur Missbrauchsprävention verarbeitet der Auftragnehmer im erforderlichen Umfang
technische Protokolldaten (z. B. Login-Zeitpunkte, Benutzer-Logs, sicherheitsrelevante Ereignisse, IP-Adresse im zulässigen Rahmen).
Eine inhaltliche Auswertung der vom Auftraggeber hochgeladenen Dateien erfolgt grundsätzlich nicht, soweit dies nicht zur Störungsbehebung,
zur IT-Sicherheit oder aufgrund gesetzlicher Pflichten erforderlich ist.
3.5 KI-gestützte Funktionen (optional)
Sofern die Plattform Funktionen enthält, bei denen Inhalte mithilfe künstlicher Intelligenz (KI) erstellt oder verarbeitet werden,
erfolgt die Verarbeitung ausschließlich zur technischen Bereitstellung der jeweiligen Funktion. Der Auftraggeber bleibt verantwortlich für die
Nutzung, Prüfung und Freigabe der daraus resultierenden Inhalte.
4. Art der personenbezogenen Daten und Kategorien betroffener Personen
4.1 Kategorien betroffener Personen
- Ansprechpartner/Administratoren des Auftraggebers
- Schüler/Teilnehmer des Auftraggebers
4.2 Kategorien personenbezogener Daten (typisch)
- Stammdaten (Name, ggf. Unternehmenszugehörigkeit)
- Kontaktdaten (E-Mail, ggf. Telefonnummer, Anschrift des Auftraggebers)
- Zugangsdaten (Login-Informationen, Passwort-Hashes/Authentifizierungsdaten)
- Nutzungs-/Prozessdaten (Lernfortschritt, Prüfungsstatus, Plattformnutzung)
- Kommunikationsdaten (Chat-Nachrichten, Anhänge – sofern genutzt)
- Inhaltsdaten/Uploads (z. B. PDFs, Videos – sofern personenbezogene Daten enthalten sind)
- Vertrags-/Abrechnungsdaten (beim Auftraggeberkontakt)
- Technische Protokolldaten (z. B. Login-Zeitpunkte, Benutzer-Logs, IP-Adresse im zulässigen Rahmen)
Hinweis: Der Auftraggeber entscheidet eigenverantwortlich, welche personenbezogenen Daten in Uploads/Chat-Inhalten enthalten sind.
5. Weisungsrecht des Auftraggebers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern nicht eine
gesetzliche Verpflichtung zur Verarbeitung besteht. Weisungen erfolgen in Textform (z. B. E-Mail).
Der Auftragnehmer informiert den Auftraggeber, wenn eine Weisung nach seiner Auffassung gegen Datenschutzrecht verstößt, und ist berechtigt,
die Umsetzung auszusetzen, bis die Weisung bestätigt oder geändert wird.
6. Pflichten des Auftragnehmers
- Vertraulichkeit: Verpflichtung befugter Personen auf Vertraulichkeit
- Sicherheit: Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs) gemäß Art. 32 DSGVO (siehe Anlage 1)
- Unterstützung des Auftraggebers in angemessenem Umfang bei Betroffenenrechten, Meldungen und Datenschutz-Folgenabschätzung, soweit zumutbar
- Verarbeitung grundsätzlich innerhalb der EU/EWR; Drittlandverarbeitung nur nach Weisung und mit geeigneten Garantien, sofern angeboten
7. Pflichten des Auftraggebers
- Rechtmäßigkeit der Datenerhebung und Datenübermittlung an den Auftragnehmer
- Informationspflichten, Rechtsgrundlagen, Einwilligungen (falls erforderlich)
- Rechtmäßigkeit und Rechte an Inhalten (Uploads/Chat) sowie Datenminimierung
- Sichere Endgeräte und Zugangsdatenverwaltung bei Nutzern des Auftraggebers
- Sicherstellung, dass nur erforderliche personenbezogene Daten in Uploads/Chat-Inhalten verarbeitet werden
8. Unterstützung bei Betroffenenrechten
Soweit Betroffene ihre Rechte direkt gegenüber dem Auftragnehmer geltend machen, verweist der Auftragnehmer die Betroffenen – soweit
rechtlich zulässig – an den Auftraggeber. Der Auftragnehmer unterstützt den Auftraggeber in angemessenem Umfang, soweit technisch möglich.
9. Meldung von Datenschutzverletzungen
Der Auftragnehmer meldet dem Auftraggeber ohne schuldhaftes Zögern bekannt gewordene Verletzungen des Schutzes personenbezogener Daten
(Art. 33 DSGVO) unter Angabe der verfügbaren Informationen und unterstützt im Rahmen des Zumutbaren.
10. Unterauftragsverhältnisse
Der Auftraggeber erteilt die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen, soweit dies für den Betrieb der Plattform erforderlich ist.
Als Hostingdienstleister wird eingesetzt:
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland
Der Auftragnehmer schließt mit Unterauftragsverarbeitern die erforderlichen Verträge nach Art. 28 DSGVO ab und informiert den Auftraggeber über
wesentliche Änderungen. Der Auftraggeber kann aus wichtigem Grund widersprechen.
11. Rückgabe, Löschung, Aufbewahrung nach Vertragsende
Nach Ende der Vertragsbeziehung löscht der Auftragnehmer personenbezogene Daten, die im Auftrag verarbeitet wurden, gemäß den Plattformprozessen,
sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Der Auftraggeber ist dafür verantwortlich, vor Vertragsende vorhandene Exportfunktionen (z. B. PDF/Excel) zur Datensicherung/Archivierung zu nutzen.
12. Nachweise, Audits, Kontrollrechte
Der Auftragnehmer stellt dem Auftraggeber auf Anfrage angemessene Informationen zur Verfügung, um die Einhaltung dieses AVV nachzuweisen
(z. B. Beschreibung der TOMs). Vor-Ort-Audits sind nur nach vorheriger schriftlicher Ankündigung (mindestens 14 Tage) während üblicher Geschäftszeiten
zulässig und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.
Der Auftragnehmer kann Audits aus wichtigen Gründen ablehnen oder auf alternative Nachweise verweisen (z. B. Dokumente/Protokolle), insbesondere
zum Schutz von Geschäftsgeheimnissen, IT-Sicherheit oder Rechten Dritter.
13. Vertraulichkeit
Beide Parteien verpflichten sich, vertrauliche Informationen und Geschäftsgeheimnisse der jeweils anderen Partei vertraulich zu behandeln.
Gesetzliche Offenlegungspflichten bleiben unberührt.
14. Haftung, Haftungsbegrenzung, Freistellung
Gesetzlich zwingende Haftung bleibt unberührt (z. B. Vorsatz, grobe Fahrlässigkeit, Verletzung von Leben/Körper/Gesundheit).
Soweit gesetzlich zulässig, haftet der Auftragnehmer bei leichter Fahrlässigkeit nur bei Verletzung wesentlicher Vertragspflichten und nur
für den vertragstypischen, vorhersehbaren Schaden.
Soweit gesetzlich zulässig, ist eine Haftung des Auftragnehmers ausgeschlossen für Datenverlust, Datenbeschädigung, Wiederherstellungskosten und
Folgeschäden, wenn nicht Vorsatz/grobe Fahrlässigkeit vorliegt, sowie für Inhalte/Uploads/Chat-Inhalte des Auftraggebers, Fehlkonfigurationen oder
unsichere Zugangsdatenverwaltung beim Auftraggeber, Ausfälle durch Dritte (z. B. Hosting/Netze) oder höhere Gewalt.
Haftungshöchstbetrag: Soweit gesetzlich zulässig, ist die Gesamthaftung des Auftragnehmers – gleich aus welchem Rechtsgrund – auf die
im letzten abgeschlossenen Vertragsjahr gezahlte Vergütung aus dem Nutzungsvertrag begrenzt; bei kürzerer Laufzeit auf die bis zum Schadensereignis
gezahlte Vergütung.
Freistellung: Der Auftraggeber stellt den Auftragnehmer von sämtlichen Ansprüchen Dritter frei (inkl. angemessener
Rechtsverteidigungskosten), die aus einer rechtswidrigen oder nicht weisungsgemäßen Datenbereitstellung, aus Inhalten/Uploads/Chat-Inhalten oder aus
der Verletzung von Informationspflichten/Einwilligungen durch den Auftraggeber resultieren.
15. Schlussbestimmungen
Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen
Bestimmungen unberührt. Es gilt deutsches Recht. Gerichtsstand ist – soweit zulässig – der Sitz des Auftragnehmers.
Anlage 1 – Technische und organisatorische Maßnahmen (TOMs) (Kurzbeschreibung)
- Zutrittskontrolle: Rechenzentrums-/Serverstandort in der EU (Hosting über Hetzner), Zutrittskontrollen durch den Hostinganbieter
- Zugangskontrolle: Passwortschutz, rollenbasierte Berechtigungen, Zugriff nur für autorisierte Nutzer
- Zugriffskontrolle: Berechtigungs- und Rollenkonzepte innerhalb der Plattform, Need-to-know-Prinzip
- Weitergabekontrolle: SSL/TLS-Verschlüsselung; Protokollierung sicherheitsrelevanter Ereignisse
- Eingabekontrolle: Protokollierung/Logging sicherheitsrelevanter Systemereignisse im zulässigen Rahmen
- Auftragskontrolle: Vertraulichkeitsverpflichtung; Subunternehmer nur mit Art.-28-Verträgen
- Verfügbarkeitskontrolle: Backups/Wiederherstellungsprozesse, Patch-Management, Systemhärtung
- Trennungsgebot: Logische Separierung/Mandantenfähigkeit und Berechtigungssysteme (soweit technisch umgesetzt)