breakpilot-compliance/backend-compliance/migrations/088_avv_template.sql

-- Migration 088: AVV-Template (Auftragsverarbeitungsvertrag Art. 28 DSGVO)
-- Komplett neues Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Enthält {{#IF}} Bloecke fuer optionale Klauseln

INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) SELECT
    gen_random_uuid(),
    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'dpa',
    'Auftragsverarbeitungsvertrag (Art. 28 DSGVO)',
    'Vollstaendiger Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO mit 11 Paragraphen und 3 Anlagen (TOM, Unterauftragnehmer, Weisungsberechtigte). Enthält optionale Klauseln fuer Drittlandtransfer, Haftungsschutz, Kuendigungsrechte und Kostenregelungen.',
    $template$# Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO

zwischen dem Verantwortlichen

**{{AG_NAME}}**
{{AG_STRASSE}}
{{AG_PLZ_ORT}}

(im Folgenden „Auftraggeber")

und dem Auftragsverarbeiter

**{{AN_NAME}}**
{{AN_STRASSE}}
{{AN_PLZ_ORT}}

(im Folgenden „Auftragnehmer")

(Auftraggeber und Auftragnehmer zusammen als „Parteien" bezeichnet)

---

## 1. Vertragsgegenstand und Rahmenbedingungen

1.1 Fuer diesen Vertrag zur Auftragsverarbeitung gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 (DSGVO), insbesondere Art. 4 DSGVO.

1.2 {{AN_NAME}} verarbeitet im Rahmen des zwischen den Parteien geschlossenen Hauptvertrags personenbezogene Daten im Auftrag des Auftraggebers gemaess Art. 28 DSGVO. Gegenstand, Art, Zweck und Dauer der Verarbeitung ergeben sich aus dem Hauptvertrag und den folgenden Festlegungen:

| Festlegung | Beschreibung |
|-----------|-------------|
| **Gegenstand** | {{VERARBEITUNGSGEGENSTAND}} |
| **Zweck** | {{VERARBEITUNGSZWECK}} |
| **Art der Verarbeitung** | {{VERARBEITUNGSARTEN}} |
| **Dauer** | Fuer die Laufzeit des Hauptvertrags, sofern nicht anders vereinbart |

1.3 Folgende Kategorien personenbezogener Daten werden verarbeitet:

{{DATENKATEGORIEN}}

1.4 Folgende Kategorien betroffener Personen sind betroffen:

{{PERSONENKATEGORIEN}}

1.5 Die Verarbeitung findet ausschliesslich innerhalb der EU/des EWR statt. Eine Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und setzt die Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO voraus.

{{#IF THIRD_COUNTRY_OBJECTION_PERIOD}}
Alternativ: Der Auftragnehmer informiert den Auftraggeber ueber eine beabsichtigte Verlagerung in ein Drittland in Textform. Der Auftraggeber kann innerhalb von {{THIRD_COUNTRY_OBJECTION_WEEKS}} Wochen begruendet widersprechen. Die Verlagerung darf nur bei Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO erfolgen.
{{/IF}}

---

## 2. Laufzeit und Kuendigung

2.1 Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags. Soweit nach Beendigung des Hauptvertrags personenbezogene Daten des Auftraggebers beim Auftragnehmer verbleiben, gilt dieser Vertrag bis zur vollstaendigen Loeschung oder Rueckgabe der Daten fort.

2.2 Das Recht auf ausserordentliche fristlose Kuendigung aus wichtigem Grund bleibt hiervon unberuehrt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragnehmer gegen wesentliche Bestimmungen dieses Vertrags oder datenschutzrechtliche Vorschriften verstoesst.

2.3 Die Rechte und Pflichten zur Loeschung und Rueckgabe der Daten nach Vertragsende richten sich nach § 10 dieses Vertrags.

---

## 3. Rechte und Pflichten des Auftraggebers

3.1 Die Verarbeitung der vertragsgegenstaendlichen Daten durch den Auftragnehmer erfolgt ausschliesslich auf Grundlage der vertraglichen Vereinbarungen und der Weisungen des Auftraggebers. Eine abweichende Verarbeitung ist nur aufgrund zwingender europaeischer oder mitgliedsstaatlicher Rechtsvorschriften zulaessig. Ist eine solche Verarbeitung erforderlich, teilt der Auftragnehmer dies dem Auftraggeber vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen oeffentlichen Interesses verbietet.

3.2 Fuer die Beurteilung der Zulaessigkeit der Verarbeitung gemaess Art. 6 DSGVO sowie fuer die Wahrung der Rechte der betroffenen Personen nach Art. 12-22 DSGVO ist allein der Auftraggeber verantwortlich. Aenderungen des Verarbeitungsgegenstands oder der Verarbeitungstaetigkeiten sind gemeinsam abzustimmen und in Textform festzulegen.

3.3 Der Auftraggeber stellt sicher, dass dem Auftragnehmer personenbezogene Daten nur im Rahmen der vereinbarten Leistungserbringung zukommen.

3.4 Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Datenschutzvorschriften vor Beginn und waehrend der Vertragslaufzeit — nach vorheriger Terminvereinbarung — im erforderlichen Umfang zu kontrollieren. Die Kontrollmassnahmen muessen verhaeltnismaessig sein und den Betrieb des Auftragnehmers nicht ueber das erforderliche Mass beeintraechtigen. Die Ergebnisse der Kontrollen werden protokolliert.

3.5 Die Parteien behandeln alle im Rahmen des Vertragsverhaeltnisses erlangten Kenntnisse von Geschaeftsgeheimnissen und Datensicherheitsmassnahmen vertraulich. Diese Verpflichtung besteht auch nach Beendigung dieses Vertrags fort.

---

## 4. Weisungsbefugnisse des Auftraggebers

4.1 Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitaeten der Datenverarbeitung zu. Der Auftragnehmer informiert den Auftraggeber unverzueglich, falls eine Weisung nach Auffassung des Auftragnehmers gegen gesetzliche Vorschriften verstoesst. Der Auftragnehmer ist berechtigt, die Ausfuehrung einer solchen Weisung auszusetzen, bis der Auftraggeber diese ausdruecklich bestaetigt oder aendert.

{{#IF LIABILITY_PROTECTION_CLAUSE}}
4.1a Besteht die Moeglichkeit, dass der Auftragnehmer durch das Befolgen einer Weisung einem Haftungsrisiko ausgesetzt wird, kann die Durchfuehrung bis zur Klaerung der Haftung im Innenverhaeltnis ausgesetzt werden.
{{/IF}}

4.2 Weisungen sind grundsaetzlich in Textform (schriftlich oder per E-Mail) zu erteilen. Muendliche Weisungen sind in begruendeten Einzelfaellen zulaessig und vom Auftraggeber unverzueglich in Textform zu bestaetigen. In der Bestaetigung ist zu begruenden, warum keine Weisung in Textform erfolgen konnte. Beide Parteien dokumentieren jede Weisung in Textform. Weisungen sind fuer die Geltungsdauer dieses Vertrags und anschliessend noch fuer {{INSTRUCTION_RETENTION_YEARS}} Jahre aufzubewahren.

4.3 Der Auftraggeber legt die weisungsberechtigten Personen fest. Der Auftragnehmer legt Weisungsempfaenger fest. Die Angaben sind Anlage 3 dieses Vertrags zu entnehmen. Bei einem Wechsel oder einer laengerfristigen Verhinderung sind dem Vertragspartner unverzueglich die Nachfolger oder Vertreter in Textform mitzuteilen.

---

## 5. Vertraulichkeit

5.1 Der Auftragnehmer bestaetigt, dass ihm die fuer die Auftragsverarbeitung massgeblichen datenschutzrechtlichen Vorschriften bekannt sind.

5.2 Der Auftragnehmer wahrt bei der Verarbeitung personenbezogener Daten des Auftraggebers die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertrags fort.

5.3 Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung betrauten Beschaeftigten auf die Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 S. 2 lit. b DSGVO) oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung besteht auch nach Beendigung des Beschaeftigungsverhaeltnisses fort. Die Beschaeftigten werden regelmaessig mit den fuer sie massgeblichen Datenschutzbestimmungen vertraut gemacht. Der Auftragnehmer ueberwacht die Einhaltung in seinem Unternehmen.

5.4 Der Auftragnehmer erteilt Betroffenen oder Dritten ohne vorherige Zustimmung des Auftraggebers keine Auskuenfte ueber die vertragsgegenstaendlichen Daten. Anfragen von Betroffenen leitet der Auftragnehmer unverzueglich an den Auftraggeber weiter (Details siehe § 9.3).

---

## 6. Technische und organisatorische Massnahmen

6.1 Der Auftragnehmer hat die in Anlage 1 beschriebenen technischen und organisatorischen Massnahmen unter Beachtung von Art. 32 DSGVO festgelegt. Sie gewaehrleisten ein dem Risiko der Verarbeitung angemessenes Schutzniveau.

6.2 Die Massnahmen koennen im Laufe des Auftragsverhaeltnisses an den Stand der Technik angepasst werden. Das Schutzniveau darf dabei nicht unterschritten werden. Wesentliche Aenderungen teilt der Auftragnehmer dem Auftraggeber vorab mit.

6.3 Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der vereinbarten Massnahmen zur Verfuegung (Art. 28 Abs. 3 S. 2 lit. h DSGVO).

---

## 7. Unterstuetzungspflichten des Auftragnehmers

7.1 Der Auftragnehmer unterstuetzt den Auftraggeber bei der Erfuellung der Betroffenenrechte nach Art. 12-22 DSGVO (Art. 28 Abs. 3 S. 2 lit. e DSGVO). Dies umfasst insbesondere die Bereitstellung der fuer Auskuenfte erforderlichen Daten, die Durchfuehrung von Loeschungen, Berichtigungen und Einschraenkungen der Verarbeitung sowie die Bereitstellung von Datenexporten (Art. 20 DSGVO).

7.2 Der Auftragnehmer unterstuetzt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Art. 28 Abs. 3 S. 2 lit. f DSGVO), insbesondere bei:

- der Sicherstellung geeigneter technischer und organisatorischer Massnahmen (Art. 32),
- der Meldung von Datenschutzverletzungen an die Aufsichtsbehoerde (Art. 33),
- der Benachrichtigung betroffener Personen (Art. 34),
- der Durchfuehrung von Datenschutz-Folgenabschaetzungen (Art. 35),
- der vorherigen Konsultation der Aufsichtsbehoerde (Art. 36).

7.3 Die Reichweite der Unterstuetzungspflichten bestimmt sich nach der Art der Verarbeitung und den dem Auftragnehmer zur Verfuegung stehenden Informationen.

{{#IF SUPPORT_COST_CLAUSE}}
7.4 Unterstuetzungsleistungen, die ueber den vertraglich vereinbarten Umfang hinausgehen, erfolgen gegen angemessene Aufwandsentschaedigung.
{{/IF}}

---

## 8. Einsatz von Unterauftragsverarbeitern

8.1 Der Auftragnehmer ist zum Einsatz von Unterauftragsverarbeitern berechtigt. Die bei Vertragsschluss bestehenden Unterauftragsverhaeltnisse sind in Anlage 2 aufgefuehrt. Der Auftraggeber erteilt seine Zustimmung zu den dort genannten Unterauftragsverarbeitern.

8.2 Der Auftragnehmer informiert den Auftraggeber ueber beabsichtigte Aenderungen bei Unterauftragsverarbeitern mindestens {{SUB_PROCESSOR_NOTICE_WEEKS}} Wochen vor deren Einsatz in Textform. Die Information umfasst Name, Sitz, Taetigkeit und getroffene Datenschutzmassnahmen des Unterauftragsverarbeiters. Der Auftraggeber kann der Hinzuziehung innerhalb von {{SUB_PROCESSOR_OBJECTION_WEEKS}} Wochen nach Zugang der Information begruendet widersprechen. Erfolgt ein fristgerechter begruendeter Widerspruch, duerfen die betroffenen Unterauftragsverarbeiter nicht eingesetzt werden.

{{#IF SUB_PROCESSOR_SILENCE_APPROVAL}}
8.2a Erfolgt innerhalb der Widerspruchsfrist kein Widerspruch, gilt die Hinzuziehung als genehmigt.
{{/IF}}

{{#IF SUB_PROCESSOR_TERMINATION_RIGHT}}
8.3 Bei begruendetem Widerspruch, ueber den keine Einigung erzielt werden kann, sind beide Parteien berechtigt, den Hauptvertrag und diesen AVV mit einer Frist von {{TERMINATION_WEEKS}} Wochen zu kuendigen.
{{/IF}}

8.4 Der Auftragnehmer waehlt Unterauftragsverarbeiter unter Beruecksichtigung der Eignung ihrer technischen und organisatorischen Massnahmen sorgfaeltig aus. Alle Vertraege mit Unterauftragsverarbeitern genuegen den Anforderungen des Art. 28 DSGVO.

8.5 Der Einsatz von Unterauftragsverarbeitern in Drittstaaten setzt die Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO voraus.

8.6 Der Auftragnehmer haftet gegenueber dem Auftraggeber fuer die Einhaltung der Datenschutzpflichten durch seine Unterauftragsverarbeiter wie fuer eigenes Handeln (Art. 28 Abs. 4 DSGVO).

8.7 Der Auftraggeber hat gegenueber dem Unterauftragsverarbeiter dieselben Weisungs- und Kontrollrechte wie gegenueber dem Auftragnehmer.

---

## 9. Informationspflichten des Auftragnehmers

9.1 Der Auftragnehmer informiert den Auftraggeber unverzueglich ueber Verstoesse gegen diesen Vertrag, gegen Weisungen des Auftraggebers oder gegen datenschutzrechtliche Vorschriften. Dies gilt auch bei begruendetem Verdacht sowie unabhaengig davon, ob der Verstoss durch den Auftragnehmer selbst, dessen Beschaeftigte, Unterauftragsverarbeiter oder sonstige eingesetzte Personen verursacht wurde.

9.2 Datenschutzverletzungen im Sinne von Art. 4 Nr. 12 DSGVO meldet der Auftragnehmer dem Auftraggeber unverzueglich, spaetestens jedoch innerhalb von **{{BREACH_NOTIFICATION_HOURS}} Stunden** nach Kenntniserlangung. Die Meldung umfasst mindestens:

- die Art der Verletzung,
- die betroffenen Datenkategorien und die ungefaehre Anzahl betroffener Personen,
- die wahrscheinlichen Folgen der Verletzung,
- die ergriffenen oder vorgeschlagenen Abhilfemassnahmen.

9.3 Anfragen betroffener Personen, Behoerden oder Dritter, die sich auf die vertragsgegenstaendliche Datenverarbeitung beziehen, leitet der Auftragnehmer unverzueglich an den Auftraggeber weiter. Der Auftragnehmer erteilt ohne vorherige Abstimmung mit dem Auftraggeber keine inhaltlichen Auskuenfte.

9.4 Der Auftragnehmer informiert den Auftraggeber unverzueglich ueber bevorstehende Aufsichtshandlungen oder Massnahmen einer Behoerde, soweit sie die vertragsgegenstaendliche Verarbeitung betreffen. Gleiches gilt fuer Ereignisse oder Massnahmen Dritter, durch die die vertragsgegenstaendlichen Daten gefaehrdet werden koennten.

---

## 10. Vertragsbeendigung, Loeschung und Rueckgabe der Daten

{{#IF REACTIVATION_PERIOD}}
10.1 Dieser Vertrag gilt nach Beendigung des Hauptvertrags fuer {{REACTIVATION_MONTHS}} Monate fort, um eine Reaktivierung zu ermoeglichen. Danach gelten die folgenden Loeschpflichten.
{{/IF}}

10.2 Nach Beendigung der Verarbeitung hat der Auftragnehmer saemtliche personenbezogene Daten des Auftraggebers nach dessen Wahl zu loeschen oder in einem gaengigen, maschinenlesbaren Format ({{DATA_EXPORT_FORMAT}}) zurueckzugeben (Art. 28 Abs. 3 S. 2 lit. g DSGVO). Der Auftraggeber teilt seine Wahl innerhalb von {{RETURN_CHOICE_WEEKS}} Wochen nach Vertragsende mit. Erfolgt keine Erklaerung, werden die Daten geloescht.

10.3 Die Loeschung erfolgt spaetestens {{DELETION_DAYS}} Tage nach Vertragsende, sofern keine vorrangigen gesetzlichen Aufbewahrungspflichten bestehen. Eine fruehere Loeschung ist auf Wunsch des Auftraggebers moeglich.

10.4 Der Auftragnehmer bestaetigt dem Auftraggeber die vollstaendige Loeschung in Textform und stellt auf Anfrage einen Loeschnachweis zur Verfuegung. Die Loeschpflicht erstreckt sich auch auf Daten bei Unterauftragsverarbeitern.

{{#IF RETURN_COST_CLAUSE}}
10.5 Die Uebersendung der Daten stellt eine zusaetzliche Unterstuetzungsleistung dar, fuer die der Auftragnehmer eine angemessene Verguetung verlangen darf.
{{/IF}}

---

## 11. Schlussbestimmungen

11.1 Es gilt das Recht der Bundesrepublik Deutschland. {{#IF GERICHTSSTAND_CLAUSE}} Gerichtsstand fuer alle Streitigkeiten aus diesem Vertrag ist {{GERICHTSSTAND}}, sofern beide Parteien Kaufleute oder juristische Personen des oeffentlichen Rechts sind. {{/IF}}

11.2 Soweit die Verarbeitung personenbezogener Daten betroffen ist, gehen die Regelungen dieses Vertrags den Regelungen des Hauptvertrags vor.

11.3 Aenderungen und Ergaenzungen dieses Vertrags beduerfender Schriftform oder eines dokumentierten elektronischen Formats. Dies gilt auch fuer den Verzicht auf dieses Formerfordernis.

11.4 Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, so beruehrt dies die Wirksamkeit der uebrigen Bestimmungen nicht. Die Parteien werden die unwirksame Bestimmung durch eine wirksame ersetzen, die dem Vertragszweck am naechsten kommt.

11.5 Datenschutzbeauftragter des Auftragnehmers: {{AN_DSB_NAME}}, erreichbar unter {{AN_DSB_EMAIL}}.

{{#IF UNILATERAL_CHANGE_RIGHT}}
*Hinweis: Dieses einseitige Aenderungsrecht ist AGB-rechtlich umstritten und sollte nur in begruendeten Faellen aktiviert werden.*

11.6 Der Auftragnehmer ist berechtigt, diesen Vertrag aus sachlich gerechtfertigten Gruenden und unter Einhaltung einer Frist von {{CHANGE_NOTICE_WEEKS}} Wochen zu aendern. Der Auftraggeber wird hierueber in Textform benachrichtigt. Im Falle eines begruendeten Widerspruchs ist der Auftragnehmer berechtigt, den Vertrag zum Zeitpunkt des Inkrafttretens der Aenderung ausserordentlich zu kuendigen.
{{/IF}}

---

{{AG_ORT}}, den {{VERTRAGSDATUM}}

\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
{{AG_UNTERZEICHNER_NAME}}
({{AG_UNTERZEICHNER_FUNKTION}})
fuer den Auftraggeber

{{AN_ORT}}, den {{VERTRAGSDATUM}}

\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
{{AN_UNTERZEICHNER_NAME}}
({{AN_UNTERZEICHNER_FUNKTION}})
fuer den Auftragnehmer

---

## Anlagen

| Nr. | Bezeichnung |
|-----|-------------|
| Anlage 1 | Technische und organisatorische Massnahmen (Art. 32 DSGVO) |
| Anlage 2 | Unterauftragsverarbeiter |
| Anlage 3 | Weisungsberechtigte und Weisungsempfaenger |

*Erstellt mit BreakPilot Compliance — Stand: {{VERTRAGSDATUM}}*
$template$,
    '["AG_NAME","AG_STRASSE","AG_PLZ_ORT","AN_NAME","AN_STRASSE","AN_PLZ_ORT","VERARBEITUNGSGEGENSTAND","VERARBEITUNGSZWECK","VERARBEITUNGSARTEN","DATENKATEGORIEN","PERSONENKATEGORIEN","SUB_PROCESSOR_NOTICE_WEEKS","SUB_PROCESSOR_OBJECTION_WEEKS","BREACH_NOTIFICATION_HOURS","INSTRUCTION_RETENTION_YEARS","DATA_EXPORT_FORMAT","RETURN_CHOICE_WEEKS","DELETION_DAYS","AN_DSB_NAME","AN_DSB_EMAIL","AG_ORT","AN_ORT","VERTRAGSDATUM","AG_UNTERZEICHNER_NAME","AG_UNTERZEICHNER_FUNKTION","AN_UNTERZEICHNER_NAME","AN_UNTERZEICHNER_FUNKTION","GERICHTSSTAND","REACTIVATION_MONTHS","TERMINATION_WEEKS","CHANGE_NOTICE_WEEKS","THIRD_COUNTRY_OBJECTION_WEEKS"]'::jsonb,
    'de', 'DE',
    'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published',
    NOW(), NOW()
WHERE NOT EXISTS (
    SELECT 1 FROM compliance_legal_templates
    WHERE document_type = 'dpa'
    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
    AND version = '1.0.0'
    AND content IS NOT NULL
    AND length(content) > 1000
);

-- Falls ein leerer/minimaler dpa-Eintrag existiert, updaten statt insert
UPDATE compliance_legal_templates
SET
    title = 'Auftragsverarbeitungsvertrag (Art. 28 DSGVO)',
    description = 'Vollstaendiger Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO mit 11 Paragraphen und 3 Anlagen (TOM, Unterauftragnehmer, Weisungsberechtigte). Enthält optionale Klauseln fuer Drittlandtransfer, Haftungsschutz, Kuendigungsrechte und Kostenregelungen.',
    version = '2.0.0',
    updated_at = NOW()
WHERE document_type = 'dpa'
  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
  AND (content IS NULL OR length(content) < 1000);