Skip to main content

Vereinbarung zur Auftragsverarbeitung für navable SaaS-Services

Präambel

Der Kunde hat die web DnA GmbH, Homerstraße 10, 80637 München („navable“) mit dem SaaS-Betrieb einer Plattform zur Analyse und Optimierung der digitalen Barrierefreiheit, zur Bereitstellung eines Barrierefreiheits-Widgets sowie zur Erstellung von Barrierefreiheitserklärungen beauftragt. Bei der Vertragsdurchführung erhält navable Zugriff auf personenbezogene Daten des Kunden. Art. 28 Datenschutz-Grundverordnung (DSGVO) stellt besondere Anforderungen an eine solche Auftragsvereinbarung. Zur Wahrung dieser Anforderungen schließen die Parteien die vorliegende Vereinbarung.

1. Vertragsgegenstand, Inhalt des Auftrags

1.1 navable erbringt die SaaS-Bereitstellung auf Grundlage der Beauftragung des Kunden gemäß dem Angebot von navable und den jeweils gültigen AGB für SaaS-Services („Hauptvertrag“).

1.2 Zur Konkretisierung der datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung zur Auftragsverarbeitung. Gegenstand und Dauer der Leistungserbringung durch navable richten sich nach dem Hauptvertrag. Die Regelungen dieser Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.

2. Umfang, Zweck und Durchführung der Datenverarbeitung; Art der Daten und Kreis der Betroffenen; Weisungsgebundenheit

2.1 Umfang und Zweck der Datenverarbeitung durch navable ergeben sich aus dem Hauptvertrag und der dazugehörigen Leistungsbeschreibung (insbesondere: Dashboard, Audit-Tool, Widget, Statement-Generator).

2.2 navable hat im Rahmen der Leistungserbringung potenziell Zugriff auf folgende Datenarten, die auf der SaaS-Plattform verarbeitet werden:

  • Account- und Benutzerdaten: Namen, E-Mail-Adressen, Login-Informationen, Rollen und Berechtigungen von Dashboard-Nutzern.
  • Analyse- und Inhaltsdaten: URLs, technische Strukturdaten von Webseiten, auf den Webseiten enthaltene Inhalte (z.B. Texte, Überschriften, Alternativtexte) sowie daraus abgeleitete Audit-Ergebnisse und Barrierefreiheitsbewertungen.
  • Konfigurationsdaten: Widget-Einstellungen, Domains, Projekte, Barrierefreiheitserklärungen und zugehörige Metadaten.
  • Protokoll- und Nutzungsdaten: IP-Adressen, Zeitstempel, technische Logs und Nutzungsmetriken im Rahmen der Nutzung der navable-Services.

Zahlungsdaten (z.B. Kreditkarteninformationen, Bankdaten) werden ausschließlich direkt durch Stripe als eigenständig Verantwortlichen verarbeitet und sind nicht Gegenstand dieser Auftragsverarbeitung.

2.3 Betroffene Personen sind insbesondere:

  • Mitarbeiter, Beauftragte und sonstige Nutzer des Kunden (Dashboard-User),
  • Besucher der Websites des Kunden, soweit deren personenbezogene Daten Bestandteil der analysierten Webseiteninhalte sind.

2.4 navable darf personenbezogene Daten des Kunden ausschließlich zu Zwecken der Erfüllung des Hauptvertrags im Auftrag des Kunden oder aufgrund von Einzelweisungen des Kunden verarbeiten. Sofern navable Daten aufgrund einer rechtlichen Verpflichtung im Sinne des Art. 28 Abs. 3 lit. a DSGVO verarbeitet, teilt navable dies dem Kunden vor der Verarbeitung mit, soweit dies nicht rechtlich ausgeschlossen ist.

2.5 navable hat Einzelweisungen des Kunden über die Erhebung, Verarbeitung oder Nutzung von Daten zu beachten und umzusetzen. Der Kunde ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst auch Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Ist navable der Ansicht, dass eine Weisung des Kunden gegen datenschutzrechtliche Bestimmungen verstößt, wird navable den Kunden darauf hinweisen. Angemessene Kosten der Durchführung von Weisungen, die über die vertraglichen Leistungen des Hauptvertrags hinausgehen, kann navable dem Kunden nach Maßgabe der jeweils geltenden Stundensätze in Rechnung stellen.

3. Unterauftragsverhältnisse

3.1 navable ist zur Einschaltung von weiteren Auftragsverarbeitern („Subunternehmern“) berechtigt. Die aktuell eingesetzten Subunternehmer sind hier aufgeführt. Vertragliche Vereinbarungen mit Subunternehmern werden durch navable so gestaltet, dass sie den Bestimmungen der DSGVO entsprechen.

3.2 navable informiert den Kunden über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subunternehmer, wodurch der Kunde die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Sollte der Kunde begründete Einwände gegen den Einsatz eines solchen neuen Subunternehmers dahingehend haben, dass der Einsatz den Anforderungen der DSGVO nicht entspricht, ist der Kunde berechtigt, gegenüber navable innerhalb von 14 Tagen nach Erhalt der Änderungsmitteilung Einspruch gegen den Einsatz des Subunternehmers zu erheben. Sofern navable daraufhin trotz berechtigten Einspruchs gegenüber dem Kunden erklärt, nicht auf den Einsatz des Subunternehmers zu verzichten, ist der Kunde berechtigt, den Hauptvertrag mit einer Frist von vier Wochen schriftlich zu kündigen.

3.3 Als Subunternehmerverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen (z.B. Hosting, Authentifizierung, CDN, Newsletter-Versand, KI-Verarbeitung im Auftrag). Nicht hierzu gehören insbesondere Nebenleistungen, die navable z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen oder Entsorgung von Datenträgern in Anspruch nimmt. navable ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

3.4 Zahlungsdienstleister (insbesondere Stripe) handeln als eigenständig Verantwortliche und sind keine Subunternehmer im Sinne dieser Vereinbarung.

4. Datengeheimnis und Vertraulichkeit

navable stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten eingesetzten Mitarbeiter zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung des Arbeitsverhältnisses bestehen bleiben.

5. Schutzmaßnahmen und Kontrolle

5.1 navable trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen („TOMs“). Eine jeweils aktuelle Übersicht über die TOMs ist hier abrufbar. navable kann die technisch-organisatorischen Maßnahmen ändern und anpassen, insbesondere an Fortentwicklungen des Standes der Technik, sofern dadurch das anfängliche Sicherheitsniveau nicht unterschritten wird.

5.2 navable stellt dem Kunden auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung, z.B. durch Vorlage geeigneter Dokumentation. navable ermöglicht zudem die Überprüfung durch den Kunden oder einen anderen von diesem beauftragten Prüfer. Zu diesem Zweck gestattet navable dem Prüfer, sich nach Anmeldung zu Prüfzwecken in den Betriebsräumen der navable zu den üblichen Geschäftszeiten ohne erhebliche Störung des Betriebsablaufes von der Einhaltung der für die Auftragsverarbeitung einschlägigen Pflichten zu überzeugen. Angemessene Kosten der Mitwirkung bei einer solchen Prüfung kann navable dem Kunden nach Maßgabe der Stundensätze von navable in Rechnung stellen.

5.3 Der Kunde verpflichtet sich, alle im Rahmen der vorgenannten Kontrollen und Auskünfte bekannt gewordenen oder von navable bekannt gegebenen Informationen, Unterlagen, Daten und Erkenntnisse streng vertraulich zu behandeln, ausschließlich für die datenschutzrechtliche Kontrolle zu verwenden und nicht anderweitig zu nutzen.

6. Informations- und Unterstützungspflicht

6.1 Wenn navable eine Verletzung des Schutzes personenbezogener Daten des Kunden bekannt geworden ist, meldet navable diese unverzüglich dem Kunden. navable wird im Benehmen mit dem Kunden angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen und den Kunden bei der Erfüllung der Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO unterstützen.

6.2 navable unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der navable zur Verfügung stehenden Informationen bei der Erstellung von Datenschutz-Folgenabschätzungen gemäß Art. 35, 36 DSGVO.

6.3 Sollten die Daten bei navable durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat navable den Kunden unverzüglich darüber zu informieren. navable wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Kunden als „Verantwortlichem“ im Sinne der DSGVO liegen.

7. Löschung von Daten

7.1 Die Löschung der im Rahmen des Auftragsverhältnisses erhobenen, verarbeiteten und genutzten Daten erfolgt mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Sofern technisch erforderlich, werden Backups mit Ablauf der regulären Backup-Zyklen überschrieben.

7.2 Sofern der Kunde vor Löschung einen Export der im Auftrag verarbeiteten Daten wünscht, stellt navable diese in einem gängigen, maschinenlesbaren Format (z.B. CSV/JSON) zur Verfügung.

8. Rechte der betroffenen Personen

8.1 Soweit ein Betroffener sich unmittelbar an navable zwecks Wahrnehmung von Betroffenenrechten (z.B. Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch) wenden sollte, wird navable dieses Ersuchen unverzüglich an den Kunden weiterleiten.

8.2 navable unterstützt den Kunden auf Anforderung bei der Wahrung dieser Rechte, z.B. im Hinblick auf Benachrichtigung, Auskunftserteilung, Berichtigung, Einschränkung der Verarbeitung und Löschung personenbezogener Daten. Angemessene Kosten dieser Unterstützung kann navable dem Kunden nach Maßgabe der Stundensätze von navable in Rechnung stellen.

9. Laufzeit und Schlussbestimmungen

9.1 Die vorliegende Vereinbarung endet mit der Beendigung des Hauptvertrags. Sie bleibt auch über die Beendigung des Hauptvertrags hinaus so lange in Kraft, wie navable über personenbezogene Daten des Kunden verfügt.

9.2 Die zwischen den Parteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch für die Haftung zwischen den Parteien im Zusammenhang mit dieser Vereinbarung zur Auftragsverarbeitung.

9.3 Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform oder Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

9.4 Es gilt ausschließlich deutsches Recht unter Ausschluss solcher Rechtsnormen, die auf andere Rechtsordnungen verweisen. Das einheitliche UN-Kaufrecht (CISG) findet keine Anwendung. Gerichtsstand ist – soweit zulässig – der Sitz von navable.

Stand: Februar 2026 – web DnA GmbH