Zum Hauptinhalt springen
Konteo
Rechtliches

Vertrag zur Auftragsverarbeitung

AVV nach Art. 28 DSGVO zwischen der Konteo GmbH als Auftragsverarbeiter und ihren Kunden als Verantwortliche.

Strukturvorschlag

Dieser Vertragsentwurf ist ein Strukturvorschlag. Vor Veröffentlichung anwaltlich prüfen lassen — insbesondere die Subunternehmer-Liste, die TOMs und die Mitwirkungspflichten.

Stand: 15. Mai 2026

1. Gegenstand und Dauer

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch die Konteo GmbH (nachfolgend „Auftragsverarbeiter“) im Auftrag des Kunden (nachfolgend „Verantwortlicher“) im Rahmen der Nutzung des Konteo-Cashless-Systems.

Die Dauer entspricht der Laufzeit des Hauptvertrags. Eine darüber hinausgehende Verarbeitung findet ausschließlich zur Erfüllung gesetzlicher Aufbewahrungspflichten statt.

2. Art und Zweck der Verarbeitung

Verarbeitet werden personenbezogene Daten zum Zweck der Durchführung des bargeldlosen Bezahlsystems am Automaten, der Verwaltung im Cloud-Panel, der Erstellung von Abrechnungen sowie zur Bereitstellung von Support.

3. Datenkategorien und Betroffene

Erhoben werden insbesondere:

  • Identifikationsdaten der Mitarbeitenden (Personalnummer, Name, ggf. E-Mail)
  • Chip-Identifikatoren (pseudonyme Konto-ID)
  • Vorgangsdaten (Zeitpunkt, Automat, Standort, Produkt, Betrag)
  • Authentifizierungsdaten der Panel-Nutzer (Anmeldedaten, 2FA-Geheimnisse)

Betroffene Personen sind: Mitarbeitende des Verantwortlichen, Panel-Nutzer beim Verantwortlichen.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich, die Daten ausschließlich nach dokumentierten Weisungen des Verantwortlichen zu verarbeiten. Insbesondere wird er:

  • geeignete technisch-organisatorische Maßnahmen (TOMs) treffen — siehe Anhang TOMs
  • seine Mitarbeitenden auf das Datengeheimnis verpflichten
  • den Verantwortlichen bei der Wahrnehmung seiner Pflichten unterstützen
  • Datenpannen unverzüglich melden (Art. 33 DSGVO)
  • nach Vertragsende Daten löschen oder zurückgeben, soweit keine gesetzliche Aufbewahrung besteht

5. Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt insbesondere folgende Maßnahmen ein:

  • Verschlüsselung im Transport (TLS 1.3) und at-rest (AES-256)
  • Pflicht-Zwei-Faktor-Authentifizierung für administrative Konten
  • Rollen- und Berechtigungskonzept mit Least-Privilege-Prinzip
  • Audit-Trail aller administrativen Aktionen
  • Regelmäßige Backups (verschlüsselt, mindestens täglich)
  • Penetrationstests durch externe Prüfer mindestens jährlich

[Vollständige Liste der TOMs als Anhang dieses Vertrags. Anhang TOMs auf Anfrage.]

6. Subunternehmer

Der Verantwortliche stimmt der Beauftragung folgender Subunternehmer zur Auftragsverarbeitung zu. Eine Änderung wird mit einer Vorlauffrist von 30 Tagen angekündigt; der Verantwortliche kann widersprechen.

NameSitzZweckGarantien
[Hosting-Anbieter]Frankfurt am Main, DeutschlandInfrastruktur, Server-BetriebISO 27001, AVV nach Art. 28 DSGVO
[Backup-Anbieter]Berlin, DeutschlandVerschlüsselte BackupsISO 27001, AVV nach Art. 28 DSGVO
[Mobilfunk-Anbieter]Düsseldorf, DeutschlandeSIM-Konnektivität der ModuleBNetzA, AVV nach Art. 28 DSGVO
[Transaktions-E-Mail]München, DeutschlandVersand System-BenachrichtigungenISO 27001, AVV nach Art. 28 DSGVO
[Support-Helpdesk]Hamburg, DeutschlandTicket-System für Support-AnfragenISO 27001, AVV nach Art. 28 DSGVO

7. Mitwirkungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Betroffenenanfragen (Art. 12–22 DSGVO), bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und bei Meldungen an die Aufsichtsbehörde (Art. 33 DSGVO).

8. Kontrollrechte

Der Verantwortliche hat das Recht, sich vom Einhalt der vereinbarten TOMs zu überzeugen — durch Einsicht in aktuelle Zertifikate, durch Beauftragung eines unabhängigen Prüfers oder durch eine eigene Vor-Ort-Prüfung nach Voranmeldung.

9. Haftung

Die Haftung der Vertragsparteien gegenüber den Betroffenen richtet sich nach Art. 82 DSGVO. Im Innenverhältnis tragen die Parteien Schäden anteilig nach Verursachungs- und Verantwortungsbeitrag.

10. Kündigung und Beendigung

Dieser Vertrag endet mit Beendigung des Hauptvertrags. Nach Vertragsende werden personenbezogene Daten auf Weisung des Verantwortlichen entweder gelöscht oder zurückgegeben — soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Versionshistorie
  • 15. Mai 2026 Aktuelle Fassung — initiale Veröffentlichung.
  • [ältere Fassungen werden bei Änderungen hier verlinkt]