Auftragsverarbeitungsvertrag (AVV)
Versionsstand: 2026-05-v2
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen (Sie als Bestattungshaus) durch den Auftragsverarbeiter (Mettare, Skalator UG) gemäß Art. 28 DSGVO. Die Fassung baut auf dem Bitkom-Muster auf und wurde um die Besonderheiten der Bestatter-Branche ergänzt: die Verarbeitungs-Rechtsgrundlage Totenfürsorge (Art. 6 Abs. 1 lit. f DSGVO i. V. m. BGH-Rechtsprechung), den Umgang mit besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO (Religionszugehörigkeit, Gesundheitsdaten zur Todesursache) sowie den nachgelagerten Datenschutz für Angehörige als Drittbetroffene.
Hinweis: Eine anwaltliche Endprüfung steht aus. Diese Fassung gilt vorläufig für die Pilot-Phase. Nach Abschluss der Prüfung erhalten Sie eine versionierte Neufassung; bestehende Akzeptanzen bleiben bis dahin gültig.
1. Gegenstand und Dauer
Gegenstand der Verarbeitung ist die Bereitstellung der Mettare- Software zur elektronischen Verwaltung von Sterbefällen, Verträgen mit Auftraggeberinnen, Behördenkorrespondenz, Trauerdruck und Rechnungswesen. Die Auftragsdauer entspricht der Laufzeit des jeweiligen Nutzungsvertrags. Maßgeblich für Beginn und Ende sind die im Nutzungsvertrag dokumentierten Daten; ohne anderslautende Regelung endet der Auftrag mit Kündigung oder Vertragsablauf.
2. Art, Zweck und Kategorien der Daten
Verarbeitet werden insbesondere Daten der verstorbenen Personen (einschließlich Religionszugehörigkeit, Todesursache und sonstiger Art-9-Daten, soweit für die Trauerfeier oder die Behördenkorrespondenz erforderlich), der Auftraggeberinnen (Vertragspartner, Rechnungs- empfänger, Bevollmächtigte), weiterer Angehöriger (Portal-Zugang, Freigaben) sowie der mit dem Auftrag verbundenen Behörden- und Geschäftspartner. Zweck ist ausschließlich die ordnungsgemäße Durchführung der vom Verantwortlichen erteilten Aufträge im Rahmen der Totenfürsorge.
Die exakten Datenklassen, Rechtsgrundlagen und Aufbewahrungsfristen pro Verarbeitungstätigkeit sind in den Compliance-Policies des Mandanten dokumentiert und versioniert hinterlegt.
3. Pflichten des Auftragsverarbeiters
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen. Weisungen außerhalb des vertraglich Vereinbarten werden vor Umsetzung schriftlich bestätigt.
- Vertraulichkeitspflicht aller mit der Verarbeitung betrauten Personen (Art. 28 Abs. 3 lit. b DSGVO); Schulung in Datenschutz, Pietätspflichten und Branchenspezifika.
- Technische und organisatorische Maßnahmen nach Art. 32 DSGVO, dokumentiert in der TOM-Übersicht.
- Hash-verkettetes, manipulationsfest geführtes Audit-Log pro Mandant — abrufbar als Bestandteil des Fall-Abschluss-Exports (Art. 28 Abs. 3 lit. h DSGVO Nachweis).
4. Meldepflicht bei Datenschutzvorfällen (Art. 33 DSGVO)
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält gemäß Art. 33 Abs. 3 DSGVO mindestens:
- Art der Verletzung, betroffene Datenkategorien und ungefährer Personenkreis
- Name und Kontaktdaten unseres Datenschutzbeauftragten
- Wahrscheinliche Folgen und ergriffene Maßnahmen
Der enge Zeitrahmen (24 Stunden statt 72) ist bewusst gewählt: der Verantwortliche hat seinerseits 72 Stunden gegenüber der Aufsichtsbehörde — wir geben ihm einen Tag Reaktionsspielraum.
5. Unterstützung bei Betroffenenrechten und Folgenabschätzung
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen nach Art. 12–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbar- keit, Widerspruch). Anfragen werden binnen 5 Werktagennach Eingang an den Verantwortlichen weitergeleitet bzw. mit den benötigten Auskünften beantwortet.
Bei Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO und bei vorheriger Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO stellt der Auftragsverarbeiter alle erforderlichen Informationen (TOM-Beschreibung, Datenflussdiagramme, Risikobewertungen) unentgeltlich zur Verfügung. Auf Wunsch wird eine Standard-DSFA- Vorlage für die Bestatter-Branche bereitgestellt.
6. Subprozessoren (Art. 28 Abs. 2 + 4 DSGVO)
Eine aktuelle Liste der eingesetzten Subprozessoren steht in der Subprozessoren-Übersicht. Der Verantwortliche erteilt mit Abschluss dieses AVV eine allgemeine Genehmigung für die dort aufgeführten Subprozessoren.
Über Hinzufügung oder Austausch von Subprozessoren wird der Verantwortliche mindestens 30 Tage vor Wirksamkeit per E-Mail informiert; ein Widerspruchsrecht besteht innerhalb dieser Frist. Wird widersprochen und ist eine alternative Leistungserbringung nicht zumutbar, hat der Verantwortliche ein außerordentliches Kündigungsrecht.
7. Prüfungsrechte des Verantwortlichen (Art. 28 Abs. 3 lit. h DSGVO)
Der Verantwortliche kann die Einhaltung dieses AVV jederzeit prüfen oder durch einen unabhängigen, zur Berufsverschwiegenheit verpflichteten Auditor prüfen lassen. Drei abgestufte Wege:
- Dokumenten-Audit: auf Anfrage übersendet der Auftragsverarbeiter binnen 10 Werktagen ein Auditor-Paket (TOM-Bericht, Audit-Log-Auszug, Hetzner-AVV, Pen-Test-Berichte). Kostenfrei einmal pro Kalenderjahr.
- Vor-Ort-Prüfung: nach Voranmeldung mit mindestens 30 Tagen Vorlauf, während der üblichen Geschäftszeiten, höchstens einmal pro Kalenderjahr. Kosten trägt der Verantwortliche; bei festgestellten und nachweisbaren Mängeln trägt sie der Auftragsverarbeiter.
- Anlassbezogen: bei begründetem Verdacht auf einen Datenschutzvorfall jederzeit auch ohne Voranmeldung, beschränkt auf den konkreten Vorfall.
Geschäftsgeheimnisse Dritter und Daten anderer Mandanten sind während der Prüfung zu wahren; der Auftragsverarbeiter kann Schwärzungen vornehmen, soweit das Prüfungsergebnis nicht beeinträchtigt wird.
8. Rückgabe, Löschung und Löschnachweis (Art. 28 Abs. 3 lit. g DSGVO)
Nach Beendigung des Auftrags werden die Daten dem Verantwortlichen herausgegeben oder, nach dessen Wahl, gelöscht — soweit keine gesetzlichen Aufbewahrungsfristen (insbesondere HGB § 257, AO § 147, Bestattungsgesetze der Länder) entgegenstehen.
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anforderung einen schriftlichen Löschnachweis mit folgenden Angaben aus: Zeitpunkt der Löschung, betroffene Datenkategorien, eingesetztes Verfahren (logische Löschung mit Audit-Log-Eintrag oder physische Löschung der Speichermedien), unterbleibender Datenexport an Dritte. Der Nachweis wird als signiertes Dokument mit SHA-256-Hash der gelöschten Datenkategorien ausgestellt; das Audit-Log bleibt davon unberührt erhalten.
Daten, die wegen gesetzlicher Aufbewahrungspflicht zurückgehalten werden, werden gesperrt (kein Lese-/Schreibzugriff außerhalb der rechtlichen Erfüllung) und nach Ablauf der Frist automatisch gelöscht.
9. Haftung
Die Haftung richtet sich nach Art. 82 DSGVO und den Bestimmungen des Nutzungsvertrags. Bei Verstößen gegen wesentliche Pflichten dieses AVV haftet jede Partei für vorsätzliches und grob fahrlässiges Verhalten unbegrenzt; im Übrigen ist die Haftung auf den vertragstypisch vorhersehbaren Schaden beschränkt. Für Schäden, die durch Verspätung im Behörden-Workflow, fehlerhafte Trauerdruck-Freigaben oder vergleichbare branchenspezifische Pietätsverletzungen entstehen, gilt eine besondere Sorgfaltspflicht; Details regelt der Nutzungsvertrag.
10. Schlussbestimmungen
Änderungen dieses Vertrags bedürfen der Textform (§ 126b BGB). Bei Änderungen, die die Akzeptanz wesentlich berühren, wird der Verantwortliche zur erneuten Annahme aufgefordert; bis dahin gilt die zum Zeitpunkt der letzten Akzeptanz unterzeichnete Version (hash-anchored im `legal_acceptances`-Ledger). Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters, soweit gesetzlich zulässig.
Anhang A — Datenkategorien, Empfänger, Aufbewahrung
Eine tabellarische Aufstellung der Datenkategorien je Verarbeitungstätigkeit, Empfänger und Aufbewahrungsfristen wird dem Verantwortlichen bei Vertragsschluss als separates Dokument überreicht und mit jeder Mandanten-Instanz pro Standort konkretisiert. Die Standard-Vorlage liegt unter TOM-Übersicht — Verarbeitungstätigkeiten ein.
Anhang B — Schweiz: revDSG / nDSG
Für Schweizer Mandanten ergänzen die folgenden Klauseln den AVV. Sie setzen das totalrevidierte Datenschutzgesetz (revDSG / nDSG) um, das am 1. September 2023 in Kraft getreten ist. Bei Widerspruch zwischen Haupt-AVV und diesem Anhang gilt für CH-Mandanten dieser Anhang.
B.1 Auftragsbearbeitung (Art. 9 revDSG)
Der Auftragsverarbeiter handelt nach Art. 9 revDSG als Auftragsbearbeiter im Sinne des schweizerischen Rechts. Die Bearbeitung erfolgt ausschließlich auf dokumentierte Anweisung des Verantwortlichen; eine eigene Zweckverfolgung findet nicht statt. Die Pflichten zur Datensicherheit nach Art. 8 revDSG i. V. m. Verordnung DSV werden gewahrt.
B.2 Meldepflicht (Art. 24 revDSG)
Eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, wird durch den Auftragsverarbeiter unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden an den Verantwortlichen gemeldet. Der Verantwortliche entscheidet anschließend über die Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) „so rasch als möglich"; eine starre 72-Stunden-Frist wie nach DSGVO besteht im revDSG nicht, die Praxis des EDÖB orientiert sich aber an diesem Rahmen.
B.3 Persönliche Strafsanktionen (Art. 60 ff. revDSG)
Beide Parteien sind sich bewusst, dass das revDSG persönliche Strafsanktionen für Verantwortliche vorsieht: Bussen bis zu CHF 250'000 bei vorsätzlicher Verletzung der Auskunfts-, Informations- und Mitwirkungspflichten (Art. 60 revDSG) sowie der Sorgfaltspflichten bei der Bekanntgabe ins Ausland und der Datensicherheit (Art. 61 revDSG). Dies trifft die natürliche Person, der die Verletzung zuzurechnen ist — nicht das Unternehmen. Der Auftragsverarbeiter unterstützt den Verantwortlichen mit der erforderlichen Dokumentation, um Vorsatz und Fahrlässigkeit auszuschließen.
B.4 Bekanntgabe ins Ausland (Art. 16 ff. revDSG)
Personendaten von CH-Mandanten werden grundsätzlich in der EU oder in der Schweiz bearbeitet. Die EU gilt nach Beschluss des Bundesrats als Land mit angemessenem Schutzniveau. Falls Subprozessoren ausserhalb der EU/Schweiz eingesetzt werden (siehe Subprozessoren-Liste), erfolgt die Bekanntgabe gestützt auf die EU-Standardvertrags- klauseln (SCC) mit ergänzendem Schweizer Beiblatt des EDÖB; eine Risikobewertung (Transfer Impact Assessment) wird durchgeführt und auf Anfrage offengelegt.
B.5 Datenschutzberater (Art. 10 revDSG)
Der Auftragsverarbeiter benennt eine Datenschutz-Kontaktstelle, die den Anforderungen an eine Datenschutzberaterin gemäß Art. 10 revDSG entspricht. Kontaktdaten sind im Impressum aufgeführt und auf Anfrage als beauftragte Stelle bei der Kantonsbehörde anzeigbar.
B.6 Gerichtsstand und anwendbares Recht
Für CH-Mandanten gilt abweichend von Ziffer 10 schweizerisches Recht. Gerichtsstand ist der Sitz des Verantwortlichen, sofern dieser in der Schweiz liegt; andernfalls Zürich. Diese Regelung tritt erst mit beidseitiger Unterzeichnung des Anhangs B in Kraft.
Hinweis: Die Klauseln im Anhang B wurden auf Grundlage des EDÖB-Leitfadens und des Bitkom-Musters in CH-Adaption formuliert, jedoch noch nicht durch eine revDSG-spezialisierte Kanzlei endgeprüft. Vor produktivem Einsatz ist eine Endprüfung dringend empfohlen.