replya logo
Kostenlos testen
replya logo
kostenlos testen

Auftragsverarbeitungsvereinbarung (AVV)

Standardfassung der Replya GmbH gemäß Art. 28 DSGVO

Fassung 2.0 · Stand: 2. Juni 2026

 

Geltung, Vertragsschluss und Fassung

Diese Auftragsverarbeitungsvereinbarung (nachfolgend „AVV“ oder „Vertrag“) regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien im Rahmen des zwischen ihnen geschlossenen Vertrages über die Bereitstellung und den Betrieb des Nachrichtendienstes „Replya Messenger“ (nachfolgend „Hauptvertrag“).

Auftragnehmer (Auftragsverarbeiter) ist die

Replya GmbH, Im Mittelfeld 4–6, 63500 Seligenstadt (HRB 58075, Amtsgericht Offenbach; USt-IdNr. DE455983516)

Auftraggeber (Verantwortlicher) ist das Unternehmen, das mit dem Auftragnehmer einen Hauptvertrag über die Nutzung des Replya Messenger schließt. Die Identität des Auftraggebers sowie seine Kontakt-, Melde- und Rechnungsdaten ergeben sich aus dem Hauptvertrag bzw. aus den im Kundenkonto hinterlegten Angaben. Auftraggeber und Auftragnehmer werden nachfolgend gemeinsam auch „Vertragsparteien“ genannt.

Diese AVV ist Bestandteil des Hauptvertrages und wird mit dessen Abschluss verbindlich einbezogen. Sie wird gemäß Art. 28 Abs. 9 DSGVO in elektronischer Form geschlossen; eine gesonderte Unterzeichnung ist nicht erforderlich. Auf Wunsch – insbesondere bei größeren oder individuell verhandelten Vertragsverhältnissen – stellt der Auftragnehmer eine individuell unterzeichnete Fassung dieser AVV bereit (datenschutz@replya.de).

Es gilt jeweils die unter replya.de/avv veröffentlichte Fassung in der zum Zeitpunkt des Vertragsschlusses gültigen Version. Zur Änderung der Fassung siehe Ziffer 10.6.

1. Präambel

Soweit die vom Auftragnehmer zu erbringenden Leistungen die Verarbeitung von personenbezogenen Daten umfassen bzw. erfordern, erfolgt die Verarbeitung dieser Daten ausschließlich auf der Grundlage dieser AVV gemäß Art. 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, nachfolgend „DSGVO“). Sie findet Anwendung auf Tätigkeiten, bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

2. Definitionen

2.1. Personenbezogene Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, vgl. Art. 4 Nr. 1 DSGVO.

2.2. Datenverarbeitung im Auftrag. Datenverarbeitung im Auftrag ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (Auftragnehmer) nach Weisung und im Auftrag des Verantwortlichen (Auftraggeber).

2.3. Subunternehmer. Als Auftragnehmer des Auftragsverarbeiters im Sinne der DSGVO ist der Subunternehmer ein „weiterer Auftragsverarbeiter“, vgl. Art. 28 Abs. 4 DSGVO.

2.4. Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch den Hauptvertrag und diese AVV festgelegt; der Auftraggeber hat ein Weisungsrecht im Rahmen dieser vereinbarten Leistung.

3. Gegenstand, Dauer, Art, Umfang und Ort

3.1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zum Zweck der Erbringung der Dienstleistungen, die vom Auftragnehmer zur Erfüllung des Hauptvertrages zu erbringen sind und die im Hauptvertrag weiter konkretisiert sind. Ergänzend gelten die Bestimmungen des Hauptvertrages, wobei die Bestimmungen dieses Vertrages hinsichtlich der Datenverarbeitungsvorgänge vorrangig sind.

3.2. Die Dauer der Auftragsverarbeitung entspricht der Dauer des Hauptvertrages.

3.3. Soweit der Hauptvertrag keine Regelungen zur Vertragsdauer enthält, gilt Folgendes: Dieser Vertrag beginnt mit Abschluss des Hauptvertrages und wird auf unbestimmte Zeit geschlossen. Er ist mit einer Frist von 6 Monaten zum Jahresende kündbar.

3.4. Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Der Auftraggeber kann den Vertrag außerdem jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen der DSGVO oder dieser Vereinbarung vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder dessen Datenschutzbeauftragten oder der Beauftragten der Revision vertragswidrig verweigert.

3.5. Der Gegenstand, Zweck und Umfang der vereinbarten Datenverarbeitung ergibt sich aus dem Hauptvertrag, bzw. ergänzend wie folgt: Bereitstellung und Betrieb des Nachrichtendienstes „Replya Messenger“ zur vereinfachten und zentralisierten Kommunikation zwischen dem Auftraggeber und dessen Kunden über WhatsApp. Die Leistung umfasst insbesondere:

  • Verwaltung und Verarbeitung von Kundenkommunikation (Text, Medien, Dokumente),
  • Bereitstellung eines Multi-User-Systems (Nutzerverwaltung, Rollen, Rechte),
  • sichere Speicherung, Verarbeitung und Synchronisation der Kommunikationsdaten,
  • Bereitstellung einer Web-Applikation und APIs zur Nutzung des Systems,
  • Logging, Protokollierung und Monitoring der System- und Kommunikationsvorgänge,
  • Nutzung der WhatsApp Business API über Meta,
  • Serverhosting, Datenspeicherung und Infrastruktur über Hetzner (Deutschland/EU).

3.6. Die Kategorien der betroffenen Personen umfassen:

  • Kunden, Interessenten des Auftraggebers
  • Mitarbeitende des Auftraggebers
  • Administratoren / Systemnutzer

3.7. Die Datenverarbeitung umfasst folgende Arten von Daten:

  • Personenstammdaten (Name, Profilinformationen)
  • Mobile Telefonnummer
  • WhatsApp Accountname
  • Kommunikation (Anfragen, ggf. besondere personenbezogene Daten, Medien wie Bilder, PDFs, Anhänge)
  • System- und Protokolldaten (Logins, IP-Adressen, Geräteinformationen, Aktivitätslogs)

3.8. Die Datenerhebung, -verarbeitung und -nutzung durch den Auftragnehmer erfolgt ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Eine Verlagerung in ein Drittland darf nur erfolgen, wenn dies nach Art. 44 ff. DSGVO zulässig und vom Auftraggeber vorab schriftlich zugestimmt worden ist. Weitergehende Pflichten, Auflagen und Vorbehalte im Zusammenhang mit einer Tätigkeitsverlagerung, insbesondere infolge von Subdelegation, gemäß dem Hauptvertrag bleiben unberührt.

3.9. Soweit der Auftragnehmer für den Auftraggeber Wartungsarbeiten an IT-Systemen durchführt, gelten zusätzlich folgende Vereinbarungen:

3.9.1. Der Auftragnehmer darf im Rahmen der Wartung nur auf personenbezogene Daten des Auftraggebers zugreifen, wenn dies für die Durchführung der Wartung erforderlich ist. Es ist dem Auftragnehmer bei der Wartung untersagt, personenbezogene Daten des Auftraggebers auf eigenen IT-Systemen oder Datenträgern zu speichern, es sei denn der Auftraggeber weist ihn hierzu an.

3.9.2. Fernwartungsarbeiten hat der Auftragnehmer dem Auftraggeber im Vorfeld anzukündigen. Der Auftraggeber ist berechtigt, die Durchführung der Fernwartung mitzuverfolgen. Auf Anfrage und soweit erforderlich, wirkt der Auftragnehmer an der Konfiguration technischer Kontrolleinrichtungen mit.

3.9.3. Die Fernwartung ist nur von Geschäftsräumen des Auftragnehmers aus zulässig. Notwendige Datenübertragungen zu Zwecken der Fernwartung müssen in hinreichend verschlüsselter Form erfolgen. Der Auftragnehmer verwendet nach dem Stand der Technik hinreichend sichere Authentisierungsverfahren.

4. Pflichten des Auftragnehmers

4.1. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Mündliche Weisungen sind anschließend vom Verantwortlichen zu dokumentieren. Der Auftragnehmer befolgt außerdem die internen Arbeitsanweisungen/Richtlinien des Auftraggebers, die dem Auftragnehmer bekannt sind. Im Fall von Widersprüchen zwischen den Weisungen und den Arbeitsanweisungen sind die Einzelanweisungen vorrangig.

4.2. Der Auftragnehmer sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen (TOM) entsprechend Art. 32 DSGVO zu. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Insbesondere wird der Auftragnehmer seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Zudem unterstützt er den Auftraggeber bei der Einhaltung der in Art. 32 DSGVO genannten Pflichten (Art. 28 Abs. 3 lit. c, f DSGVO). Der Auftragnehmer stellt sicher, dass er oder seine etwaigen Subunternehmer zur Erbringung der Dienstleistung die Verarbeitung und Speicherung von Anwendungen und schutzwürdigen Daten in virtuellen Netzwerken (z. B. in Form des Cloud Computing) nur mit vorheriger Zustimmung des Auftraggebers vornehmen.

4.3. Der Auftragnehmer bietet nach Maßgabe des Art. 28 Abs. 1, 5 DSGVO hinreichende Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen durchgeführt werden, die gewährleisten, dass die Verarbeitung im Einklang mit der DSGVO und den Rechten der betroffenen Person steht. Dazu hat er ein umfassendes und aktuelles Datenschutz- und Datensicherheitskonzept für diese Auftragsverarbeitung erstellt (Anlage 1). Der Auftragnehmer ist verpflichtet, dieses Datenschutz- und Datensicherheitskonzept zu pflegen und fortlaufend zu aktualisieren, wobei das vereinbarte Schutzniveau nicht unterschritten werden darf. Eine Beschreibung des Datenschutz- und Datensicherheitskonzepts ist als Anlage 1 Bestandteil dieser Vereinbarung.

4.4. Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO kostenfrei bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO mit. Zudem hat der Auftragnehmer kostenfrei auf Anfrage an der Erstellung und der Aktualisierung des Verfahrensverzeichnisses des Auftraggebers mitzuwirken, soweit es die Dokumentation der technischen und organisatorischen Sicherheitsmaßnahmen betrifft. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen.

4.5. Der Auftragnehmer ist außerdem verpflichtet, mitarbeiterbezogene oder -beziehbare Daten von Mitarbeitern des Auftraggebers und seiner verbundenen Unternehmen nicht zur Leistungs- oder Verhaltenskontrolle und nicht zu anderen Zwecken und in anderen Anwendungen zu verarbeiten als mit den Mitbestimmungsgremien des Auftraggebers vereinbart. Der Auftraggeber wird den Auftragnehmer über etwaige einschlägige Vereinbarungen mit den Mitbestimmungsgremien und den daraus resultierenden Anforderungen umfassend informieren; im Fall von Widersprüchen mit diesem Vertrag informiert der Auftragnehmer den Auftraggeber unverzüglich und dieser erteilt eine entsprechende Weisung.

4.6. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. Auf Verlangen des Auftraggebers ist die jeweilige Verpflichtung der mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter nachzuweisen.

4.7. Der Auftragnehmer hat einen externen Datenschutzbeauftragten benannt. Name und Kontaktdaten des Datenschutzbeauftragten sowie des Ansprechpartners für Informationssicherheitsfragen des Auftragnehmers lauten:

Datenschutzbeauftragter: Herr Dr. Blazy (GDPC – Marschall und Blazy GbR) Telefon: +49 (0) 561 830 99 165 Postanschrift: Replya GmbH, Im Mittelfeld 4–6, 63500 Seligenstadt – Datenschutzbeauftragter (vertraulich) – E-Mail: datenschutz@replya.de

Ansprechpartner Informationssicherheit: Michael Som, Replya GmbH, info@replya.de

Jeder Wechsel des Datenschutzbeauftragten sowie des Ansprechpartners für Informationssicherheitsfragen des Auftragnehmers ist dem Auftraggeber mitzuteilen; bei einer veröffentlichten Fassung erfolgt die Mitteilung durch Aktualisierung dieser AVV unter replya.de/avv.

4.8. Der Auftragnehmer ist zur laufenden Kontrolle seiner Datenverarbeitungsprozesse und Systeme in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet. Der Auftragnehmer hat dies zu dokumentieren und die entsprechenden Aufzeichnungen dem Auftraggeber auf Anforderung mindestens einmal im Jahr zum Zwecke des Nachweises zur Verfügung zu stellen. Hierzu hat der Auftragnehmer auf Anforderung vorzulegen:

  • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO; oder
  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO; oder
  • aktuelle Testate, Berichte, Penetrationstests, Ergebnisse von Notfall-Wiederanlaufübungen, Maßnahmenpläne oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); oder
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z. B. BSI-Grundschutz).

In den Nachweisen identifizierte Schwachstellen müssen zeitnah unter Berücksichtigung der Kritikalitätsstufe behoben werden. Der Auftragnehmer stimmt zu, dass der Auftraggeber nach vorheriger Ankündigung und unter Kostenübernahme durch den Auftraggeber, ebenfalls jährlich Penetrationstests auf für den Auftraggeber bereitgestellten Komponenten durchführen kann. Des Weiteren können die Softwarekomponenten des Auftraggebers zur Überprüfung an einen Dienstleister übermittelt werden.

4.9. Der Auftragnehmer unterrichtet den Auftraggeber umgehend bei Störungen des Betriebsablaufs, bei Verdacht auf Verletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten des Auftraggebers sowie über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach Kapitel VIII der DSGVO.

4.10. Dem Auftragnehmer ist bekannt, dass der Auftraggeber verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person binnen 72 Stunden zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird der Auftragnehmer den Auftraggeber gemäß Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung seiner Meldepflichten unterstützen. Er wird die Verletzungen unverzüglich dem Auftraggeber melden und hierbei zumindest folgende Informationen mitteilen:

  • eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze,
  • Name und Kontaktdaten eines Ansprechpartners für weitere Informationen,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
  • eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Die Meldung erfolgt an die vom Auftraggeber im Hauptvertrag bzw. im Kundenkonto hinterlegte Melde- und Kontaktadresse. Der Auftraggeber ist verpflichtet, diese Adresse aktuell zu halten.

4.11. Überlassene Datenträger sowie sämtliche hiervon gefertigte Kopien oder Reproduktionen verbleiben im Eigentum des Auftraggebers. Der Auftragnehmer hat diese sorgfältig zu verwahren, so dass sie Dritten nicht zugänglich sind. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine personenbezogenen Daten und Unterlagen betroffen sind. Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial übernimmt der Auftragnehmer nach vorheriger Freigabe (Schrift- oder Textform) durch den Auftraggeber. In besonderen, vom Auftraggeber zu bestimmenden Fällen erfolgt eine Aufbewahrung bzw. Übergabe.

4.12. Nach Abschluss der vertraglichen Leistungen oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrages – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach dessen vorheriger Zustimmung (Schrift- und Textform) datenschutzgerecht zu vernichten bzw. zu löschen. Soweit gesetzliche Aufbewahrungspflichten bestehen, hat die Löschung/Vernichtung der Daten erst nach deren Ablauf zu erfolgen. Das Protokoll der Löschung/Vernichtung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

4.13. In automatisierten Verarbeitungssystemen hat der Auftragnehmer mindestens die folgenden Arbeitsvorgänge zu protokollieren: Erhebung, Veränderung, Abfrage, Offenlegung einschließlich Übermittlung sowie Kombination und Löschung. Protokolle zu Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und soweit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.

5. Pflichten des Auftraggebers

5.1. Der Auftraggeber wird den Auftragnehmer über ihm bekannt gewordene, etwaige datenschutzrechtliche Mängel bei der Durchführung der Auftragsverarbeitung unterrichten.

5.2. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung im Zuge der bisherigen Zusammenarbeit von der Einhaltung der beim Auftragnehmer getroffenen TOM zur Datensicherheit zu überzeugen. Er darf dies nach seiner Wahl insbesondere durch einen Abgleich der eingesetzten Verfahren mit den Anforderungen des Datenschutz- und Datensicherheitskonzeptes sowie durch verschiedene Prüfungen der internen Revision, des/der Informationssicherheitsbeauftragten, des/der Datenschutzbeauftragten oder deren jeweiligen Beauftragten durchführen. Der Auftraggeber wird eine entsprechende Überprüfung auch während der Vertragslaufzeit regelmäßig durchführen.

6. Anfragen betroffener Personen

6.1. Ist der Auftraggeber aufgrund geltender Datenschutzgesetze gegenüber den betroffenen Personen verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten dieser Person zu geben, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen.

6.2. Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Einschränkung, Löschung oder Auskunftserteilung wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Die Beantwortung der Auskunftsersuchen erfolgt dabei ausschließlich durch den Auftraggeber.

6.3. Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

7. Kontrollrechte

7.1. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Der Auftragnehmer stellt dafür sicher, dass sich der Auftraggeber ggf. jährlich von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftraggeber kann sich insbesondere nach Anmeldung (und ohne Anmeldung bei in Ziffer 3.9 genannten Vorfällen) zu Prüfzwecken in den Betriebsstätten des Auftragnehmers zu den üblichen Geschäftszeiten und, soweit möglich, ohne Störung des Betriebsablaufes von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsverarbeitung einschlägigen Datenschutzgesetze überzeugen. Das gleiche Recht steht grundsätzlich den für die Aufsicht über den Auftraggeber zuständigen Datenschutzbehörden zu. Zudem hat der Auftragnehmer dem Auftraggeber unverzüglich und vollumfänglich sicherheitsrelevante Auskünfte zu erteilen. Alle Informationen, die die Informationssicherheit des Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer betreffen, sind vertraulich zu behandeln.

7.2. Die Übernahme von Kosten einer solchen Kontrolle seitens des Auftraggebers wird ausgeschlossen. Weitergehende Kontroll-, Zutritts- und Auskunftsrechte des Auftraggebers oder von Dritten gemäß dem Hauptvertrag bleiben unberührt.

7.3. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung (Textform ist ausreichend) innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer umfassenden Auftragskontrolle erforderlich sind.

7.4. Der Auftragnehmer wird den Auftraggeber bei der Durchführung von Kontrollen unterstützen und an der vollständigen und zügigen Abwicklung seiner Kontrollen mitwirken. Der Auftragnehmer hat seinerseits die Datenverarbeitung regelmäßig zu kontrollieren und die Kontrollen sowie deren Ergebnisse zu dokumentieren und dem Auftraggeber zur Verfügung zu stellen.

8. Subunternehmer

8.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter (Subunternehmer) gemäß Art. 28 Abs. 2 S. 1 DSGVO. Die zum Zeitpunkt des Vertragsschlusses eingesetzten und vom Auftraggeber genehmigten Subunternehmer ergeben sich aus Anlage 2 (einschließlich Angabe der vollständigen Firma, der Adresse, der Verarbeitungsstandorte und der Art der Dienstleistung).

8.2. Der Auftragnehmer unterrichtet den Auftraggeber mindestens 14 Tage vor der Hinzuziehung eines neuen oder der Ersetzung eines bestehenden Subunternehmers in Textform (Art. 28 Abs. 2 S. 2 DSGVO); die Mitteilung kann auch durch Aktualisierung der Anlage 2 unter replya.de/avv mit gesondertem Hinweis an den Auftraggeber erfolgen. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen ab Zugang der Mitteilung aus wichtigem datenschutzrechtlichem Grund in Textform widersprechen. Erfolgt kein fristgerechter Widerspruch, gilt der Subunternehmer als genehmigt. Im Fall eines berechtigten Widerspruchs werden die Parteien eine einvernehmliche Lösung anstreben; gelingt dies nicht und ist dem Auftragnehmer die Erbringung der Leistung ohne den betreffenden Subunternehmer nicht zumutbar, sind beide Parteien berechtigt, den Hauptvertrag und diese AVV mit einer Frist von drei Monaten zu kündigen.

8.3. Wenn Subunternehmer durch den Auftragnehmer eingeschaltet werden, so werden die vertraglichen Vereinbarungen so gestaltet, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragsparteien dieses Vertrages sowie Art. 28 Abs. 2 bis 4 DSGVO entsprechen und der Auftragnehmer die Einhaltung dieser Pflichten durch den Unterauftragnehmer regelmäßig überprüft. Dem Auftraggeber sowie den zuständigen Datenschutzbehörden sind Kontroll- und Überprüfungsrechte entsprechend Ziffer 7 einzuräumen. Ebenso ist der Auftraggeber berechtigt, auf schriftliche Anforderung vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, soweit erforderlich auch durch Einsicht in die relevanten Vertragsunterlagen.

8.4. Der Auftragsverarbeiter stellt bei einer Unterbeauftragung, die eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhaltet, die Einhaltung der Regelungen des Kapitels V der DSGVO sicher, indem geeignete Garantien gemäß Artikel 44 ff. DSGVO getroffen werden. Der Auftragsverarbeiter wird – je nach Sitz des ausgewählten Subunternehmers – ein eigenes Transfer Impact Assessment für das jeweilige Drittland erstellen und dem Auftraggeber vorlegen, dies gilt zumindest soweit kein Angemessenheitsbeschluss vorliegt. Kommt der Auftragsverarbeiter zu dem Ergebnis, dass Maßnahmen getroffen werden müssen, um ein adäquates Schutzniveau zu erreichen, dann sind diese Maßnahmen von ihm bzw. vom Unterauftragnehmer zu ergreifen.

8.5. Weitergehende Anforderungen und Vorgaben zur Beauftragung von Subunternehmen gemäß dem Hauptvertrag bleiben unberührt.

8.6. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

8.7. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

9. Haftung

9.1. Der Auftragnehmer haftet dem Auftraggeber für Schäden infolge fehlerhafter Datenverarbeitung oder bei sicherheitsrelevanten Verstößen, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistungen schuldhaft verursachen.

9.2. Im Übrigen haften Auftraggeber und Auftragnehmer gegenüber den betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

10. Sonstiges, Allgemeines

10.1. Sollten die personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit an den personenbezogenen Daten beim Auftraggeber liegt.

10.2. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen.

10.3. Änderungen und Ergänzungen dieses Vertrages und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – sind schriftlich abzufassen, was auch das elektronische Format umfasst. Die Regelung zur Anpassung der veröffentlichten Fassung nach Ziffer 10.6 bleibt unberührt.

10.4. Es gilt deutsches Recht. Ausschließlicher Gerichtsstand ist – soweit gesetzlich zulässig – Seligenstadt.

10.5. Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.

10.6. Fassung und Änderungen. Diese AVV gilt in der jeweils unter replya.de/avv veröffentlichten Fassung mit dem dort angegebenen Versionsstand. Der Auftragnehmer ist berechtigt, die AVV anzupassen, soweit dies aufgrund geänderter gesetzlicher oder aufsichtsbehördlicher Anforderungen, höchstrichterlicher Rechtsprechung oder einer Änderung der angebotenen Leistung erforderlich ist und das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen teilt der Auftragnehmer dem Auftraggeber mindestens 30 Tage vor Wirksamwerden in Textform mit. Widerspricht der Auftraggeber nicht innerhalb von 30 Tagen ab Zugang der Mitteilung, gilt die geänderte Fassung als angenommen; auf diese Folge wird in der Mitteilung gesondert hingewiesen. Im Fall eines Widerspruchs gilt die bisherige Fassung fort; ist deren unveränderte Fortführung dem Auftragnehmer aus rechtlichen Gründen nicht zumutbar, sind beide Parteien berechtigt, den Hauptvertrag und diese AVV mit einer Frist von drei Monaten zu kündigen. Änderungen, die der Auftraggeber durch Einzelweisung veranlasst, bleiben hiervon unberührt.

Diese AVV wird gemäß Art. 28 Abs. 9 DSGVO in elektronischer Form geschlossen und mit Abschluss des Hauptvertrages wirksam einbezogen. Eine gesonderte Unterzeichnung ist nicht erforderlich. Für den Auftragnehmer handelt die Replya GmbH, vertreten durch ihre Geschäftsführung. Eine individuell unterzeichnete Fassung dieser AVV stellt der Auftragnehmer auf Anfrage bereit (datenschutz@replya.de).

Anlage 1 – Datenschutz- und Datensicherheitskonzept (TOM)

(Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO) · Stand: 2. Juni 2026

Diese Anlage beschreibt die technischen und organisatorischen Maßnahmen (TOM), die die Replya GmbH (Auftragnehmer) zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus bei der Verarbeitung personenbezogener Daten ergreift.

1. Vertraulichkeit

1.1 Zutrittskontrolle. Maßnahmen zur Verhinderung unbefugten physischen Zutritts zu Datenverarbeitungsanlagen.

  • Serverstandorte ausschließlich in gesicherten Rechenzentren der Hetzner Online GmbH (Deutschland/EU).
  • Rechenzentren mit 24/7-Überwachung, Sicherheitsdienst, Videoüberwachung, Zutrittsprotokollierung.
  • Mehrstufige Zugangssysteme – abhängig vom Standort des Providers.
  • Kein physischer Zugriff durch Personal der Replya GmbH auf Serverhardware.

1.2 Zugangskontrolle. Maßnahmen, um unbefugte Nutzung von IT-Systemen zu verhindern.

  • Starke Passwortrichtlinien (mindestens 20 Zeichen, Groß-, Kleinschreibung, Zahlen und Sonderzeichen, die bei der Anlage technisch erzwungen werden).
  • Zwei-Faktor-Authentifizierung für Admin- und Hosting-Zugänge, sodass alle Systeme, in denen Daten verarbeitet werden, nur durch Multi-Faktor-Authentifizierung der Mitarbeiter erreicht werden können.
  • Verschlüsselte Zugänge (SSH Key-based Authentication, HTTPS, TLS 1.2+).
  • Firewalls und Zugangsbeschränkungen auf Systeme nur für befugte Mitarbeitende.
  • Rollenbasierte Systemnutzerverwaltung in Replya (Mitarbeitende/Administratoren).

1.3 Zugriffskontrolle. Maßnahmen zur Sicherstellung, dass nur Berechtigte auf Daten zugreifen.

  • Rollen- und Rechteverwaltung im Replya Messenger.
  • Getrennte Rollen für: Agents, Supervisors, Systemadministratoren.
  • „Least-Privilege“-Prinzip: Nur notwendige Berechtigungen für jede Rolle.

1.4 Trennungskontrolle. Trennung von Daten, die zu unterschiedlichen Zwecken verarbeitet werden.

  • Logische Mandantentrennung innerhalb der Replya-Anwendung.
  • Getrennte Datenbanken pro Systemumgebung (Production, Staging, Development).
  • Strikte Zugriffsbeschränkungen auf produktive Systeme.
  • Trennung von Test- und Livesystemen.

1.5 Pseudonymisierung / Verschlüsselung. Sicherstellung, dass Daten ohne Zusatzwissen nicht zugeordnet werden können.

  • Transportverschlüsselung per TLS 1.2 / 1.3.
  • Serverseitige Verschlüsselung relevanter Datenbankfelder.
  • Möglichkeit zur pseudonymisierten Verarbeitung in Protokollen und Monitoring-Systemen.
  • Hashing sensibler Metadaten (z. B. bei Login-Informationen).

2. Integrität

2.1 Weitergabekontrolle. Schutz vor unbefugter Weitergabe.

  • Kommunikation ausschließlich über verschlüsselte Transportwege (HTTPS/TLS).
  • API-Kommunikation mit Meta/WhatsApp gemäß deren End-to-End-Verschlüsselungsstandards.
  • Interne Weitergabe nur nach Freigabe und im Rahmen definierter Rollen.

2.2 Eingabekontrolle. Sicherstellung der Nachvollziehbarkeit von Änderungen, Eingaben und Löschungen.

  • Umfassendes Logging aller systemrelevanten Ereignisse: Logins, Änderungen, Löschungen, Nachrichtenversand, Rollenänderungen.
  • Zeitstempel, User-ID und technische Metadaten werden protokolliert.
  • Keine nachträgliche Manipulation von Logs möglich (Write-Only-Logging).

3. Verfügbarkeit & Belastbarkeit

3.1 Verfügbarkeitskontrolle.

  • Tägliche Backups aller produktiven Datenbanken.
  • Firewalling und DDoS-Schutz.

3.2 Belastbarkeit der Systeme.

  • Skalierbare Serverarchitektur (Cloud-Strukturen).
  • Monitoring von CPU, RAM, Storage und Applikationsstatus.
  • Alerts und automatisierte Fehlerinformationen.
  • Regelmäßige Kontrollen und Performance-Optimierungen.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

4.1 Datenschutzfreundliche Voreinstellungen (Privacy by Default).

  • Standardmäßig minimale Datenerhebung.
  • Keine Speicherung nicht benötigter Metadaten.
  • Opt-in-basierte Freigabe sensibler Funktionen.

4.2 Datenschutz durch Technikgestaltung (Privacy by Design).

  • Trennung von Datenhaltung und Anwendungsebene.
  • Nutzung moderner Frameworks mit integrierten Sicherheitsmechanismen.
  • Regelmäßige Updates & Security Patches.

4.3 Incident-Response-Management.

  • Definiertes Verfahren bei Datenschutzvorfällen.
  • Sofortige Meldung an die in der AVV festgelegte Meldeadresse des Auftraggebers.
  • Interne Eskalationskette bei Replya: Datenschutzbeauftragter Dr. Stephan Blazy → Datenschutzkoordinator Michael Som → Technikteam → Geschäftsführung.
  • Dokumentation aller Vorfälle in einem Incident-Register.

4.4 Notfallkonzept / Business Continuity.

  • Wiederanlaufplanung für komplette Systemwiederherstellung.
  • Backup-Wiederherstellungstests mindestens 1x pro Jahr.
  • Desaster-Recovery-Verfahren bei Ausfall einzelner Komponenten.

4.5 Audits und regelmäßige Überprüfung.

  • Interne technische Audits mindestens jährlich.
  • Protokollierung und Abarbeitung von Schwachstellenscans.

5. Auftragskontrolle

  • Sicherstellung, dass Subunternehmer (Hetzner, Meta/WhatsApp) DSGVO-konform arbeiten.
  • Abschluss notwendiger Auftragsverarbeitungsverträge.
  • Überwachung der Subunternehmer durch regelmäßige Prüfung der Zertifizierungen (z. B. ISO 27001).

6. Datenschutzmanagement

  • Externer Datenschutzbeauftragter: Dr. Stephan Blazy (GDPC – Marschall und Blazy GbR), E-Mail: datenschutz@replya.de, Tel.: +49 (0) 561 830 99 165.
  • Stellvertretender Datenschutzbeauftragter: Dr. Kevin Marschall (GDPC – Marschall und Blazy GbR).
  • Datenschutzkoordinator intern: Michael Som, info@replya.de.
  • Schulung aller Mitarbeitenden zu Datenschutz & IT-Sicherheit (jährlich + bei Eintritt).
  • Verpflichtung aller Mitarbeitenden auf Vertraulichkeit gemäß Art. 28 DSGVO.
  • Regelmäßige Überprüfung der TOM mit Aktualisierung bei Bedarf.

Anlage 2 – Liste der Subunternehmer

Stand: 2. Juni 2026

Der Auftraggeber genehmigt die nachfolgenden Subunternehmer gemäß Ziffer 8 dieser AVV. Weitere Subunternehmer werden nur nach Maßgabe von Ziffer 8.2 (Mitteilung mit 14-tägigem Widerspruchsrecht) hinzugezogen.

1. Hetzner Online GmbH

  • Firma: Hetzner Online GmbH
  • Adresse: Industriestr. 25, 91710 Gunzenhausen, Deutschland
  • Standorte der Datenverarbeitung: Deutschland und EU-Rechenzentren (Nürnberg, Falkenstein, Helsinki)
  • Art der Dienstleistung: Server-Hosting; Betrieb der Cloud-Infrastruktur; Datenbank-Hosting; Speicherung und Verarbeitung aller systemrelevanten Daten; Netzwerk- und Sicherheitsinfrastruktur
  • Kategorie der verarbeiteten Daten: Kommunikationsdaten; Nutzerdaten; Log- und Systemdaten; Personenstammdaten

2. Meta Platforms Ireland Limited (WhatsApp Business / WhatsApp Cloud API)

  • Firma: Meta Platforms Ireland Limited
  • Adresse: 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland
  • Standorte der Datenverarbeitung: EU sowie internationale Meta-Rechenzentren gemäß der Meta/WhatsApp-Datenrichtlinie (inkl. Übermittlungen in Drittländer nach Art. 44 ff. DSGVO)
  • Art der Dienstleistung: Bereitstellung der WhatsApp Business API / WhatsApp Cloud API; Übermittlung und Zustellung von Kunden- und Nutzer-Nachrichten; Verarbeitung und Routing von Chat-Kommunikation zwischen Kunde und Auftraggeber
  • Kategorie der verarbeiteten Daten: Telefonnummern; Nachrichteninhalte (Text, Medien, Dokumente); technische Metadaten (Zeitstempel, Routing-Informationen)

Hinweis: Änderungen dieser Subunternehmerliste werden dem Auftraggeber gemäß Art. 28 DSGVO und Ziffer 8.2 dieser AVV rechtzeitig mitgeteilt.

replya logo

Wie können wir Ihnen helfen?

Jetzt QR Code scannen und über Whatsapp direkt schreiben:
qrcode
oder hier klicken
Sie haben Fragen? Wir helfen gerne.
Jetzt E-Mail schreiben
Testen Sie replya jetzt 14 Tage kostenlos und unverbindlich mit Ihrer eigenen Nummer
Jetzt Demo anfordern

DSGVO koform – 14 Tage kostenlos & unverbindlich testen