STEALTH MODE
Produkt
Die IdeeEU-CloudProjekte & AufgabenTeam-ChatVideo-MeetingsDateien & DokumenteAI-AssistentAlle Funktionen
Branchen
IT-Dienstleistungen & LösungenSoftware & SaaSMarketing, PR & KreativagenturenLife Sciences & MedTechErneuerbare Energien & CleanTechStartups & ScaleupsEnterprise
Preise
Anmelden
In Warteliste eintragen
Produkt
Die IdeeEU-CloudProjekte & AufgabenTeam-ChatVideo-MeetingsDateien & DokumenteAI-AssistentAlle Funktionen
Branchen
IT-Dienstleistungen & LösungenSoftware & SaaSMarketing, PR & KreativagenturenLife Sciences & MedTechErneuerbare Energien & CleanTechStartups & ScaleupsEnterprise
PreiseAnmelden

Auftragsverarbeitungsvertrag (AVV)

Stand: 5. März 2026

gemäß Art. 28 DSGVO

1. Parteien und Gegenstand

Dieser AVV wird zwischen dem Kunden als Verantwortlichem (Controller) und der Liza GmbH, Aachener-und-Münchener-Allee 1, 52074 Aachen, Deutschland, als Auftragsverarbeiter (Processor) geschlossen.

Er ergänzt die Nutzungsbedingungen und regelt die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Plattform »Liza« durchführt.

2. Gegenstand und Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Hauptvertrages und umfasst die Bereitstellung der SaaS-Plattform für Projektkommunikation und -management.

3. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst das Speichern, Organisieren, Abrufen und Löschen von personenbezogenen Daten zum Zweck der Bereitstellung der vertraglich vereinbarten Plattformfunktionen. Soweit der Verantwortliche KI-Funktionen der Plattform nutzt, werden Inhalte zur Verarbeitung an Drittanbieter von KI-Modellen als Unterauftragsverarbeiter übermittelt. Diese Anbieter sind vertraglich verpflichtet, Daten nicht zum Trainieren ihrer Modelle zu verwenden. Der Verantwortliche kann die KI-Funktionen jederzeit vollständig deaktivieren.

4. Kategorien betroffener Personen

Betroffen sind Mitarbeiter und Beauftragte des Verantwortlichen sowie dessen Kunden und Geschäftspartner, soweit deren Daten in der Plattform verarbeitet werden.

5. Kategorien personenbezogener Daten

Verarbeitet werden Kontaktdaten (Name, E-Mail, Telefon), Kommunikationsinhalte (Nachrichten, Dateien, Kommentare), Projektdaten (Aufgaben, Zuweisungen, Fristen) sowie technische Daten (IP-Adresse, Geräteinformationen, Zugriffsprotokolle).

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach EU-Recht oder dem Recht eines EU-Mitgliedstaates zur Verarbeitung verpflichtet. In diesem Fall informiert er den Verantwortlichen vorab über diese Pflicht.

Der Auftragsverarbeiter gewährleistet, dass alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind, und unterstützt den Verantwortlichen bei der Einhaltung seiner Pflichten aus Art. 32–36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, Meldepflichten).

7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere Verschlüsselung personenbezogener Daten bei der Übertragung (TLS), Zugangs- und Zugriffskontrollen, Netzwerksegmentierung und Datenbanksicherheit, regelmäßige Sicherheitsüberprüfungen und Penetrationstests, Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen sowie Backup- und Wiederherstellungsverfahren.

Die TOM werden im Anhang A dieses AVV im Detail beschrieben und bei Bedarf aktualisiert.

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Die aktuelle Liste ist unter Unterauftragsverarbeiter-Liste einsehbar.

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 14 Tage vor dem geplanten Einsatz eines neuen Unterauftragsverarbeiters. Der Verantwortliche kann innerhalb dieser Frist widersprechen. Widerspricht er und kann keine zumutbare Alternative gefunden werden, hat der Verantwortliche das Recht, den Vertrag außerordentlich zu kündigen.

Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter denselben Datenschutzverpflichtungen unterliegt. Alle Unterauftragnehmer verarbeiten Daten ausschließlich innerhalb der EU/des EWR.

9. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO).

10. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten und unterstützt bei der Meldung an die Aufsichtsbehörde.

11. Löschung und Rückgabe

Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Auf Wunsch stellt der Auftragsverarbeiter die Daten vorab in einem gängigen Format zur Verfügung.

12. Nachweispflichten und Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der DSGVO zur Verfügung. Der Verantwortliche hat das Recht, höchstens einmal pro Jahr ein Audit durch einen qualifizierten, unabhängigen externen Prüfer durchführen zu lassen, mit einer Ankündigung von mindestens 60 Tagen. Der Prüfer ist vorab zur Vertraulichkeit zu verpflichten. Die Kosten des Audits trägt der Verantwortliche. Der Auftragsverarbeiter kann die Vorlage aktueller Zertifizierungen (z. B. ISO 27001, SOC 2 Type II) als gleichwertigen Nachweis anbieten.

Anhang A: Technische und organisatorische Maßnahmen

1. Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu Datenverarbeitungsanlagen verwehren:

  • Sämtliche Kundendaten werden auf Servern des Cloud-Anbieters UpCloud verarbeitet und gespeichert. UpCloud betreibt ein nach ISO 27001 und SOC 2 Type II zertifiziertes Informationssicherheits-Managementsystem. Die physische Sicherheit der Rechenzentren wird durch UpCloud gewährleistet.
  • Der Anbieter betreibt kein eigenes Rechenzentrum.
  • Der Zugang zu den Büroräumen ist durch einen zentralen Empfang sowie eine Schließanlage gesichert. Besucher werden registriert und begleitet.
  • Mitarbeiter im Home-Office sind angewiesen, Arbeitsgeräte vor unbefugtem Zugriff zu schützen und bei Abwesenheit zu sperren.

2. Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:

  • Zugang zu allen internen Systemen (Cloud-Konsole, Code-Repositories, Admin-Tools) erfordert eine Authentifizierung mit individuellem Benutzerkonto und starkem Passwort.
  • Alle Mitarbeiterzugänge sind durch Zwei-Faktor-Authentifizierung mit biometrischem zweitem Faktor gesichert.
  • Passwörter werden ausschließlich über einen zentralen Passwort-Manager verwaltet.
  • Die Plattform bietet Kunden Zwei-Faktor-Authentifizierung als zusätzliche Sicherheitsoption.
  • Arbeitsgeräte werden bei Inaktivität automatisch gesperrt.

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Berechtigte nur auf die ihnen zugewiesenen Daten zugreifen:

  • Die Plattform verwendet ein rollenbasiertes Berechtigungskonzept, das den Zugriff der Endnutzer innerhalb einer Kundenorganisation regelt (z. B. Admin, Mitglied, Gast).
  • Mitarbeiter des Anbieters haben keinen standardmäßigen Zugriff auf Kundeninhalte. Ein Zugriff erfolgt nur nach aktiver Freischaltung durch den Kunden und ist auf einen begrenzten Zeitraum beschränkt.
  • Für interne Systeme gilt das Prinzip der minimalen Rechte (Least Privilege).
  • Zugriffsrechte werden regelmäßig überprüft und bei Ausscheiden eines Mitarbeiters unverzüglich entzogen.

4. Weitergabekontrolle

Maßnahmen zum Schutz personenbezogener Daten bei der Übertragung:

  • Sämtliche Datenübertragungen zwischen Endnutzern und der Plattform erfolgen TLS-verschlüsselt (HTTPS).
  • Administrative Zugriffe auf die Infrastruktur (Server, Datenbank) sind ausschließlich über VPN möglich.
  • Die Kommunikation mit Drittanbietern (z. B. KI-Anbieter, Zahlungsdienstleister) erfolgt ausschließlich über verschlüsselte Schnittstellen (HTTPS/TLS).

5. Eingabekontrolle

Maßnahmen zur Nachvollziehbarkeit von Dateneingabe, -änderung und -löschung:

  • Änderungen an Daten werden mit Benutzerkennung, Zeitstempel und Art der Aktion protokolliert (Audit-Log).
  • Jeder Nutzer arbeitet mit einem personalisierten Benutzerkonto; anonyme Eingaben sind nicht möglich.
  • Audit-Logs werden vor nachträglicher Veränderung geschützt.

6. Auftragskontrolle

Maßnahmen, die sicherstellen, dass Daten nur weisungsgemäß verarbeitet werden:

  • Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Grundlage dieses AVV und dokumentierter Weisungen des Verantwortlichen.
  • Mit allen Unterauftragsverarbeitern bestehen vertragliche Vereinbarungen gemäß Art. 28 DSGVO.
  • Die Einhaltung der vertraglichen Vorgaben durch Unterauftragsverarbeiter wird regelmäßig überprüft.

7. Verfügbarkeitskontrolle

Maßnahmen zum Schutz gegen Datenverlust:

  • Tägliche automatische Backups durch den Cloud-Anbieter UpCloud.
  • Zusätzliche Sicherungen in ein separates Rechenzentrum (georedundante Speicherung).
  • Kontinuierliches Uptime-Monitoring der Plattform.
  • Dokumentierter Disaster-Recovery-Plan mit definierten Wiederherstellungszielen.

8. Trennungsgebot

Maßnahmen zur getrennten Verarbeitung verschiedener Zwecke:

  • Jeder Kunde wird in einer eigenen Datenbank geführt (physische Mandantentrennung).
  • Entwicklungs- und Produktionsumgebung sind vollständig voneinander getrennt.
  • In Entwicklungsumgebungen werden keine Echtdaten verwendet.

9. Incident-Response

Verfahren bei Datenschutzverletzungen:

  • Dokumentierter Incident-Response-Prozess mit definierten Eskalationsstufen.
  • Benachrichtigung des Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden einer Verletzung.
  • Dokumentation aller Vorfälle einschließlich Ursache, Auswirkung und ergriffener Gegenmaßnahmen.

10. Mitarbeiterschulungen

  • Regelmäßige Datenschutzschulungen für alle Mitarbeiter.
  • Verpflichtung auf das Datengeheimnis bei Eintritt.
  • Sensibilisierung für Social Engineering und Phishing.

Anhang B: Aktuelle Unterauftragsverarbeiter

Siehe: Unterauftragsverarbeiter-Liste

Produkt
Die IdeeEU-CloudProjekte & AufgabenTeam-ChatVideo-MeetingsDateien & DokumenteAI-AssistentAlle FunktionenPreise
Branchen
IT-Dienstleistungen & LösungenSoftware & SaaSMarketing, PR & KreativagenturenLife Sciences & MedTechErneuerbare Energien & CleanTechStartups & ScaleupsEnterprise
Warum Liza?
Liza vs. TeamsLiza vs. SlackLiza vs. ZoomLiza vs. TrelloLiza vs. AsanaLiza vs. ClickUpLiza vs. Google DriveLiza vs. Dropbox
Ressourcen
Erste SchritteDownloadsHelp & SupportAPI-DokumentationFeedbackChangelogRoadmapStatus
Unternehmen
Über unsKontaktAGBDatenschutzCookie-RichtlinieAVVUnterauftragsverarbeiterNutzungsrichtlinienImpressum
Sprache
English
Deutsch
Français
Español
Português
Italiano
Nederlands
日本語