Von Westfalen
Wir begleiten Dein Unternehmen beim nachhaltigen und digitalen Umbau! Von Westfalen - deine Nachhaltigkeitsberatung aus Berlin
Von Westfalen
Auftragsverarbeitungsvertrag (AVV)
Stand 02.06.2026
| Verantwortliche (Auftraggeber) | Auftragsverarbeiterin |
|---|---|
| Das beauftragende Unternehmen gemäß unterzeichnetem Angebot (nachfolgend: Auftraggeber) | Von Westfalen GmbH, Berlin vertreten durch die Geschäftsführenden Pascal Höinghaus und Sandra Weith-Höinghaus (nachfolgend: Von Westfalen GmbH) |
Die Von Westfalen GmbH verarbeitet im Rahmen der vertraglich vereinbarten Beratungsleistungen personenbezogene Daten des Auftraggebers. Die Verarbeitung erfolgt ausschließlich zur Erfüllung des Vertrages.
Die Verarbeitung beginnt mit der ersten Kontaktaufnahme im Rahmen der Anbahnungsphase und endet mit Abschluss des Mandats. Gesetzliche Aufbewahrungspflichten (insbesondere nach HGB und AO) bleiben unberührt; nach Ablauf dieser Fristen werden die betreffenden Daten gelöscht. Im Übrigen gelten die Regelungen aus Ziff. 11 der AGB.
| Verarbeitungszweck | Datenkategorien | Betroffene Personen |
|---|---|---|
| Beratungsdurchführung und Projektarbeit | Projektdokumentation, Strategiepapiere, Prozessbeschreibungen – überwiegend ohne Personenbezug; gelegentlich Kontaktdaten von Ansprechpersonen | Ansprechpersonen beim Auftraggeber |
| Förderantragsbegleitung (z. B. BAFA) | Unternehmenskennzahlen, Umsatz, Beschäftigtenzahl, Steuernummer, Beteiligungsstruktur (teils aus öffentlichen Quellen wie Handelsregister) | Geschäftsführende, Gesellschaftende, bevollmächtigte Personen |
| Kommunikation und Terminabwicklung | Name, E-Mail, Telefonnummer, Gesprächsanliegen | Ansprechpersonen, Anrufende |
Zweckbindung
Die Von Westfalen GmbH verarbeitet personenbezogene Daten ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen. Eine Verarbeitung zu eigenen oder fremden Zwecken findet nicht statt.
Vertraulichkeit
Alle mit der Verarbeitung betrauten Personen sind zur Vertraulichkeit verpflichtet. Diese Verpflichtung besteht über das Vertragsende hinaus fort.
Technische und organisatorische Maßnahmen
Die Von Westfalen GmbH trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die aktuell geltenden Maßnahmen sind in Anlage 1 dokumentiert. Anpassungen sind zulässig, sofern das Schutzniveau nicht unterschritten wird.
Meldung von Datenschutzverletzungen
Verletzungen des Schutzes personenbezogener Daten meldet die Von Westfalen GmbH dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden, per E-Mail an die im Angebot genannte Kontaktperson.
Unterstützung bei Betroffenenrechten
Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) leitet die Von Westfalen GmbH unverzüglich an den Auftraggeber weiter. Eine weitergehende Unterstützung erfolgt im Rahmen des vertraglich Zumutbaren.
Kontrolle
Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV nach vorheriger schriftlicher Ankündigung (Frist: mindestens 10 Werktage) zu überprüfen oder durch Dritte überprüfen zu lassen. Die Von Westfalen GmbH stellt hierfür die erforderlichen Informationen bereit.
Der Auftraggeber erteilt die allgemeine Genehmigung zum Einsatz der nachfolgend aufgeführten Unterauftragsverarbeitenden. Vor Hinzuziehung weiterer Unterauftragsverarbeitender informiert die Von Westfalen GmbH den Auftraggeber rechtzeitig; der Auftraggeber kann innerhalb von vier Wochen schriftlich Einspruch erheben.
Die Von Westfalen GmbH verpflichtet ihre Unterauftragsverarbeitenden vertraglich auf ein diesem AVV gleichwertiges Datenschutzniveau.
| Anbieter | Sitz / Server | Zweck | Drittland | Schutzmaßnahme |
|---|---|---|---|---|
| Microsoft Corporation (M365) | USA / DE-Server | Produktivität, Kommunikation, Ablage | Nein (DE) | AVV + EU-Verpflichtungen |
| HubSpot, Inc. | USA | CRM, Kontakte, Newsletter | Ja | AVV + SCC Art. 46 Abs. 2c DSGVO |
| Buchhaltungsbutler GmbH | Deutschland | Buchhaltung, Belegverarbeitung | Nein | AVV |
| Starbüro GmbH | Deutschland | Telefonservice, Gesprächsnotizen | Nein | AVV |
| smartdocu Solutions GmbH | Deutschland (EU) – Hosting: Hetzner Online GmbH | Cloud-Software zur Erstellung von Verfahrensdokumentationen (SaaS) | Nein | AVV (23.12.2021) |
| SMARTCON Wirtschaftsberatung GmbH & Co. KG (verfahrensdokumentation.pro) | Deutschland (EU) – Hosting: DATEV eG, Hetzner Online GmbH, Schuster & Walther IT-Business GmbH | Cloud-Software zur Erstellung von Verfahrensdokumentationen (SaaS) | Nein | AVV (03/2026) |
Haftung
Es gelten die Haftungsregelungen aus Ziff. 6 der AGB der Von Westfalen GmbH. Daneben haftet die Von Westfalen GmbH nach den gesetzlichen Bestimmungen der DSGVO.
Widerspruchsregelung
Bei Widersprüchen zwischen diesem AVV und den AGB haben die Regelungen dieses AVV in datenschutzrechtlichen Fragen Vorrang.
Versionierung
Dieser AVV wird bei wesentlichen Änderungen mit neuem Stand-Datum unter vonwestfalen.de/avv veröffentlicht. Maßgeblich ist die zum Zeitpunkt der Angebotsunterzeichnung gültige Fassung. Laufende Mandate werden bei wesentlichen Änderungen vorab informiert.
Recht und Gerichtsstand
Es gilt deutsches Recht. Gerichtsstand ist Berlin. Dies entspricht Ziff. 13 der AGB.
Salvatorische Klausel
Sollten einzelne Bestimmungen unwirksam sein, bleibt der AVV im Übrigen wirksam.
Zutrittskontrolle
- Remote-First-Betrieb ohne öffentlich zugängliche Bürofläche
- Zugangssicherung zu genutzten Arbeitsräumen
Zugangskontrolle
- Passwortschutz aller Geräte und Konten, Passwortmanager im Einsatz
- Multi-Faktor-Authentifizierung (MFA) für Microsoft 365 und weitere Systeme
- Automatische Bildschirmsperre bei Inaktivität
Zugriffskontrolle
- Rollenbasierte Rechtevergabe in Microsoft 365 (SharePoint-Berechtigungen je Mandat)
- Mandantendaten werden in separaten Bereichen verwaltet; keine mandantenübergreifenden Einblicke
Weitergabekontrolle
- Dateiübermittlung ausschließlich über verschlüsselte Kanäle (SharePoint, gesicherte E-Mail)
- KI-Werkzeuge: interne Richtlinie, nach der keine personenbezogenen Kundendaten in KI-Systeme eingegeben werden – außer in gesondert vereinbarten Fällen mit entsprechender Ergänzungsvereinbarung
Auftragskontrolle
- Alle Unterauftragsverarbeitenden sind vertraglich auf gleichwertiges Datenschutzniveau verpflichtet
Verfügbarkeitskontrolle
- Automatisches Cloud-Backup über Microsoft 365 / SharePoint
Trennungskontrolle
- Technische und organisatorische Trennung der Mandantendaten