Auftragsverarbeitungsvertrag (AVV)

§1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen des CRM-Dienstes 'scout'. Die Verarbeitung umfasst die Speicherung, Verwaltung und KI-gestützte Analyse von B2B-Kontaktdaten.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrages. Nach Beendigung werden die Daten gemäß §10 gelöscht.

(3) Art der Verarbeitung: Erhebung (über Drittanbieter-APIs), Speicherung, Strukturierung, Analyse (KI-gestützt), Bereitstellung, Löschung.

§2 Art und Zweck der Verarbeitung

• · Lead-Discovery
• · Lead-Analyse
• · Outreach-Generierung
• · CRM-Betrieb
• · Radar-Monitoring
• · Zahlungsabwicklung über Stripe

§3 Kategorien personenbezogener Daten

• · Stammdaten des Auftraggebers: Name, E-Mail, Telefon, Firmenname
• · Kontaktdaten der Leads: Name, Berufsbezeichnung, Firmenname, geschäftliche E-Mail, Telefonnummer, LinkedIn-URL, Firmenwebsite
• · Nutzungsdaten: IP-Adressen, Zugriffszeitpunkte, Browser-Informationen

Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO werden nicht verarbeitet.

§4 Kategorien betroffener Personen

• · Nutzer des scout-Dienstes (Auftraggeber und deren Mitarbeiter)
• · B2B-Kontakte/Leads

§5 Pflichten des Auftragsverarbeiters

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach dem Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet.

(2) Der Auftragnehmer stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die konkreten TOMs sind in Anlage 1 dokumentiert.

(4) Der Auftragnehmer unterstützt den Auftraggeber soweit möglich mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten gemäß Art. 32–36 DSGVO.

(5) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung.

(6) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn er der Ansicht ist, eine Weisung verstoße gegen die DSGVO oder andere Datenschutzvorschriften.

§6 Unterauftragnehmer

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragnehmer zu:

Den Unterauftragsverarbeitern werden vertraglich dieselben Datenschutzpflichten auferlegt.

§7 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber ist berechtigt, Überprüfungen der technischen und organisatorischen Maßnahmen beim Auftragnehmer durchzuführen oder durch Dritte durchführen zu lassen. Ankündigungen sind mit angemessener Vorlaufzeit (mindestens 14 Tage) zu übermitteln.

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus diesem Vertrag zur Verfügung, insbesondere Dokumentationen, Zertifizierungen und Auditberichte.

(3) Kontrollen dürfen den laufenden Betrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen. Kosten für außerordentliche Kontrollen trägt der Auftraggeber.

§8 Weisungen

(1) Der Auftraggeber erteilt Weisungen zur Datenverarbeitung in Textform (E-Mail genügt). Der Auftragnehmer bestätigt den Empfang und die Umsetzung.

(2) Hält der Auftragnehmer eine Weisung für datenschutzrechtlich unzulässig, unterrichtet er den Auftraggeber unverzüglich. Die Ausführung der Weisung wird bis zur Klärung ausgesetzt.

§9 Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, an den Auftraggeber. Die Meldung erfolgt per E-Mail an die im Vertrag hinterlegte Adresse.

(2) Die Meldung enthält soweit möglich: Art der Verletzung, betroffene Datenkategorien und -mengen, betroffene Personengruppen, wahrscheinliche Folgen sowie ergriffene und vorgeschlagene Maßnahmen.

§10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsvertrages löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Auf Wunsch stellt der Auftragnehmer die Daten vor der Löschung in einem maschinenlesbaren Format (CSV/JSON) zur Verfügung. Der Export muss spätestens 14 Tage vor Vertragsende angefordert werden.

(3) Die ordnungsgemäße Löschung wird dem Auftraggeber schriftlich bestätigt.

§11 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den Regelungen des Hauptvertrages. Jede Partei haftet für Schäden, die sie durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht hat. Der Auftragnehmer haftet nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Weisungen des Auftraggebers gehandelt hat.

§12 Laufzeit und Beendigung

(1) Dieser AVV tritt mit Abschluss des Nutzungsvertrages in Kraft und gilt für dessen gesamte Laufzeit.

(2) Bei Beendigung des Nutzungsvertrages endet auch dieser AVV automatisch. Die Regelungen zur Datenlöschung (§10) gelten über die Beendigung hinaus fort.

Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO — Stand: Mai 2026

1. Vertraulichkeit

Zutrittskontrolle: Die Infrastruktur wird ausschließlich über Cloud-Dienste betrieben (Supabase, Vercel). Physischer Zugang zu Serverräumen wird durch die Rechenzentren der Anbieter (AWS Frankfurt) gesichert.

Zugangskontrolle: Passwortbasierter und 2FA-gesicherter Zugang zu allen Administrationssystemen. Passwortmanager-Pflicht für alle Zugangsdaten. Regelmäßige Rotation von API-Keys und Secrets.

Zugriffskontrolle: Row Level Security (RLS) in Supabase stellt sicher, dass jeder Nutzer ausschließlich auf eigene Daten zugreifen kann. Role-based Access Control (RBAC) für administrative Zugänge. Need-to-Know-Prinzip.

Trennungskontrolle: Logische Mandantentrennung in der Datenbank. Jeder Nutzer-Account ist strikt von anderen getrennt. Separate Umgebungen für Development, Staging und Production.

2. Integrität

Weitergabekontrolle: Alle Datenübertragungen erfolgen ausschließlich verschlüsselt via TLS 1.3. Keine Übertragung von Nutzerdaten über unverschlüsselte Kanäle. API-Kommunikation ausschließlich über HTTPS.

Eingabekontrolle: Auditierbare Logs für kritische Datenoperationen. Datenbankänderungen werden protokolliert. Regelmäßige Überprüfung von Zugriffsprotokollen.

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle: Hosting auf hochverfügbarer Cloud-Infrastruktur (Vercel Edge Network, Supabase mit automatischem Failover). Monitoring der Systemverfügbarkeit. Ziel-Verfügbarkeit: 99,5% (monatlich).

Wiederherstellbarkeit: Tägliche automatische Backups der Datenbank durch Supabase (Point-in-Time Recovery). Backup-Aufbewahrungsdauer: 30 Tage. Dokumentierter Wiederherstellungsprozess.

4. Verfahren zur regelmäßigen Überprüfung

• · Regelmäßige Dependency-Audits (npm audit, automatisiert via CI/CD)
• · Überprüfung und Rotation von API-Keys und Zugangsdaten (quartalsweise)
• · Review der Unterauftragnehmer-AVVs (jährlich)
• · Überprüfung der Datenschutzmaßnahmen bei wesentlichen Systemänderungen
• · Incident-Response-Prozess mit dokumentierten Eskalationswegen

Anlage 2: Liste der Unterauftragnehmer

Stand: Mai 2026