Rechtliches

Auftragsverarbeitung (AVV/ADV)

Informationen zum Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

Stand: Januar 2026

Diese Seite beschreibt die Grundlagen der Auftragsverarbeitung (auch „AVV“ oder „ADV“) für Papernaut gemäß Art. 28 DSGVO. Der vollständige Vertrag zur Auftragsverarbeitung wird im Rahmen der Zusammenarbeit bereitgestellt.

1. Rollen nach DSGVO

  • Kunde: Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO), soweit er über Zwecke und Mittel der Verarbeitung entscheidet.
  • Garden of Concepts GmbH: Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO), soweit personenbezogene Daten im Auftrag verarbeitet werden.

2. Gegenstand und Dauer

Gegenstand ist die Bereitstellung und der Betrieb von Papernaut als Dokumentenmanagementsystem. Dauer und Umfang ergeben sich aus dem jeweiligen Vertrag.

3. Art und Zweck der Verarbeitung

Verarbeitungen können – abhängig von der Nutzung – insbesondere umfassen:

  • Speicherung, Organisation und Bereitstellung von Dokumenten
  • Metadatenverwaltung und Suchfunktionen
  • Protokollierung sicherheitsrelevanter Vorgänge (z. B. Zugriffe)

4. Kategorien betroffener Personen und Daten

Je nach Nutzung können betroffen sein:

  • Mitarbeiter:innen, Kund:innen, Lieferant:innen, Interessent:innen des Kunden
  • Kontaktdaten, Vertrags-/Vorgangsdaten, Dokumentinhalte, Nutzungs- und Protokolldaten

5. Technische und organisatorische Maßnahmen (TOM)

Der Anbieter setzt angemessene TOM nach Art. 32 DSGVO ein. Details (z. B. Zugriffskontrolle, Verschlüsselung, Protokollierung, Backup/Recovery) sind Bestandteil des vollständigen AVV.

6. Unterauftragsverarbeiter

Sofern Unterauftragsverarbeiter eingesetzt werden (z. B. Hosting), erfolgt dies im Rahmen der gesetzlichen Vorgaben und der vertraglichen Regelungen. Eine aktuelle Liste bzw. Kategorien sind im vollständigen AVV aufgeführt.

7. Unterstützungspflichten

Der Anbieter unterstützt den Kunden nach Maßgabe des Vertrags bei:

  • Betroffenenrechten (Art. 12–22 DSGVO)
  • Meldungen von Datenschutzverletzungen (Art. 33, 34 DSGVO)
  • Datenschutz-Folgenabschätzungen (Art. 35 DSGVO), soweit relevant

8. Löschung und Rückgabe

Nach Ende der Beauftragung werden personenbezogene Daten nach vertraglicher Regelung gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

9. Kontrollrechte / Audits

Der Kunde hat Kontrollrechte nach Art. 28 DSGVO. Der Ablauf (z. B. Nachweise, Audits, Berichte) wird im vollständigen AVV geregelt.

AVV/ADV anfordern: Bitte kontaktieren Sie uns unter studio@goc.email.
Weitere Pflichtangaben finden Sie im Impressum.