Vertrag zur Auftragsverarbeitung (AVV)
Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO und ist Bestandteil der Allgemeinen Geschäftsbedingungen für die Nutzung des Dienstes „bepeq". Er gilt mit Abschluss des Nutzungsvertrags als zwischen den Parteien geschlossen.
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Kunde, der den Dienst nutzt (nachfolgend „Auftraggeber").
Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist die DAMA Solutions GmbH, Max-Holder-Straße 7, 60437 Frankfurt am Main, als Anbieter des Dienstes „bepeq" (nachfolgend „Auftragnehmer").
§ 1 Gegenstand, Art und Zweck der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zur Erbringung des Dienstes gemäß den AGB. Gegenstand, Art und Zweck der Verarbeitung, die Kategorien betroffener Personen sowie die Arten personenbezogener Daten ergeben sich aus Anlage 1.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.
§ 2 Weisungsrecht des Auftraggebers
(1) Der Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Die Nutzung des Dienstes gemäß den AGB und die im Dienst getroffenen Einstellungen des Auftraggebers gelten als Weisungen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Der Auftragnehmer informiert den Auftraggeber, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer
- verarbeitet die Daten nur im Rahmen des Auftrags und der Weisungen;
- stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- ergreift die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 2);
- unterstützt den Auftraggeber nach Möglichkeit mit geeigneten Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) sowie bei den Pflichten nach Art. 32–36 DSGVO;
- stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung;
- löscht oder gibt die Daten nach Beendigung der Erbringung der Leistungen nach Wahl des Auftraggebers zurück (siehe § 8).
(2) Der Auftragnehmer hat keinen Sitz außerhalb der EU/des EWR. Die Verarbeitung erfolgt grundsätzlich in der Europäischen Union; Ausnahmen ergeben sich ausschließlich aus dem Einsatz der in Anlage 3 genannten Unterauftragsverarbeiter.
§ 4 Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Er ist berechtigt, diese an den Stand der Technik anzupassen, solange das vereinbarte Schutzniveau nicht unterschritten wird.
§ 5 Unterauftragsverarbeiter
(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung zum Einsatz der in Anlage 3 aufgeführten Unterauftragsverarbeiter.
(2) Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern mit angemessener Frist. Der Auftraggeber kann einer Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen widersprechen; in diesem Fall sind beide Parteien zur Kündigung berechtigt, wenn keine einvernehmliche Lösung gefunden wird.
(3) Der Auftragnehmer verpflichtet jeden Unterauftragsverarbeiter auf datenschutzrechtliche Pflichten, die den hier vereinbarten im Wesentlichen entsprechen.
§ 6 Betroffenenrechte
Wendet sich eine betroffene Person mit Anträgen zur Ausübung ihrer Rechte unmittelbar an den Auftragnehmer, leitet dieser den Antrag unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Beantwortung.
§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragnehmer meldet dem Auftraggeber jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit verfügbar. Der Auftragnehmer unterstützt den Auftraggeber bei dessen Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.
§ 8 Löschung und Rückgabe nach Beendigung
Nach Beendigung des Nutzungsvertrags räumt der Auftragnehmer dem Auftraggeber für 30 Tage die Möglichkeit zum Export seiner Daten ein, soweit der Dienst dies vorsieht. Nach Ablauf dieser Frist löscht der Auftragnehmer die personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Verlangen weist der Auftragnehmer die Löschung in geeigneter Form nach.
§ 9 Kontrollrechte und Nachweise
Der Auftraggeber hat das Recht, die Einhaltung der vereinbarten Pflichten in angemessenem Umfang zu überprüfen. Der Auftragnehmer erbringt den Nachweis vorrangig durch Auskünfte, Selbstauskünfte oder geeignete Nachweise (z. B. Zertifikate, Berichte). Vor-Ort-Prüfungen sind mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs zulässig.
§ 10 Datenübermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in ein Drittland erfolgt nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind – insbesondere auf Grundlage eines Angemessenheitsbeschlusses (z. B. EU-US Data Privacy Framework) oder geeigneter Garantien wie der EU-Standardvertragsklauseln. Die betroffenen Unterauftragsverarbeiter und die jeweilige Grundlage sind in Anlage 3 ausgewiesen.
§ 11 Haftung
Für die Haftung gilt Art. 82 DSGVO. Im Verhältnis der Parteien untereinander gelten ergänzend die Haftungsregelungen der AGB, soweit datenschutzrechtlich zulässig.
§ 12 Schlussbestimmungen
Bei Widersprüchen zwischen diesem AVV und den AGB gehen für den Bereich der Auftragsverarbeitung die Regelungen dieses AVV vor. Es gilt deutsches Recht. Ist eine Bestimmung unwirksam, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1 – Gegenstand und Einzelheiten der Verarbeitung
Gegenstand und Zweck
Bereitstellung einer SaaS-Anwendung zur Sammlung, Strukturierung und KI-gestützten Aufbereitung von Website-Feedback sowie zur dokumentierten Freigabe durch Endkunden des Auftraggebers.
Art der Verarbeitung
Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Verwenden, Übermitteln an eingesetzte Unterauftragsverarbeiter, Löschen.
Kategorien betroffener Personen
- Mitarbeitende/Nutzer des Auftraggebers (Konto- und Teammitglieder);
- Endkunden des Auftraggebers, die per Freigabe-Link Feedback geben oder Freigaben erteilen;
- Personen, deren Daten auf den vom Auftraggeber zur Prüfung bereitgestellten Websites enthalten sind (z. B. in Screenshots oder Live-Vorschauen).
Arten personenbezogener Daten
- Stammdaten: Name, E-Mail-Adresse, Unternehmenszugehörigkeit;
- Anmelde- und Nutzungsdaten: Zugangsdaten (gehasht), Zeitstempel, Aktivitäten im Dienst;
- Inhaltsdaten: Feedback-Kommentare, Freigabe-Entscheidungen, hochgeladene/aufgenommene Inhalte;
- ggf. in geprüften Websites enthaltene personenbezogene Daten, die der Auftraggeber bestimmt.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags; ihre Einstellung durch den Auftraggeber ist zu unterlassen.
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Vertraulichkeit
- Verschlüsselte Übertragung (TLS/HTTPS) für sämtliche Zugriffe auf den Dienst;
- Verschlüsselung der Daten im Ruhezustand auf Ebene der eingesetzten Hosting-/Datenbankdienste;
- Zugriffskontrolle über mandantengetrennte Berechtigungen (Row-Level-Security) – jeder Kunde sieht ausschließlich seine eigenen Daten;
- rollenbasierte Zugriffsrechte, Authentifizierung mit gehashten Zugangsdaten;
- Verpflichtung der Beschäftigten auf Vertraulichkeit; Zugriff nach dem Need-to-know-Prinzip.
Integrität
- Trennung von Produktiv- und Entwicklungsumgebungen;
- Server-seitige Validierung und Autorisierung sämtlicher Datenzugriffe;
- Protokollierung sicherheitsrelevanter Ereignisse.
Verfügbarkeit und Belastbarkeit
- Hosting bei etablierten Anbietern mit redundanter Infrastruktur;
- regelmäßige automatische Datensicherungen auf Ebene des Datenbankdienstes;
- Schutzmaßnahmen gegen Überlastung und Missbrauch (u. a. Rate-Limiting).
Verfahren zur regelmäßigen Überprüfung
- Auftragskontrolle durch vertragliche Bindung der Unterauftragsverarbeiter;
- Berücksichtigung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO);
- Überprüfung und Aktualisierung der Maßnahmen bei Bedarf.
Hinweis: Diese Maßnahmen beschreiben den aktuellen Stand und werden bei technischer Weiterentwicklung fortgeschrieben, ohne das Schutzniveau zu unterschreiten.
Anlage 3 – Genehmigte Unterauftragsverarbeiter
Der Auftragnehmer setzt zur Leistungserbringung die folgenden Unterauftragsverarbeiter ein. Die jeweils aktuelle Fassung ergibt sich aus dieser Anlage bzw. der Datenschutzerklärung.
- Supabase, Inc. – Datenbank, Authentifizierung, Datei-Speicher, System-E-Mails. Verarbeitung in der EU (Region Frankfurt, Deutschland). Etwaige Drittland- Bezüge auf Grundlage der EU-Standardvertragsklauseln.
- Netlify, Inc. (USA) – Hosting und Auslieferung der Web-Anwendung. Übermittlung auf Grundlage geeigneter Garantien (EU-Standardvertragsklauseln / EU-US Data Privacy Framework).
- Stripe Payments Europe, Ltd. (Irland) – Abwicklung von Zahlungen und Abonnementverwaltung. Verarbeitung in der EU.
- Anthropic PBC (USA) – KI-gestützte Aufbereitung von Feedback. Übermittlung auf Grundlage geeigneter Garantien (EU-Standardvertragsklauseln). Keine Nutzung der Daten zum Training der Modelle.
- ScreenshotOne – Erstellung von Seiten-Screenshots zur Vorschau. Etwaige Drittland-Übermittlungen erfolgen auf Grundlage der EU-Standardvertragsklauseln.
Stand: 1.7.2026