Skip to main content

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Version: 5.0 Stand: 2026-02-27

Präambel

Dieser Auftragsverarbeitungsvertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO im Zusammenhang mit dem zwischen den Parteien geschlossenen Hauptvertrag (Einzelvertrag) und den Allgemeinen Geschäftsbedingungen der Aydoo Services GmbH (Version 5.0, Stand 2026-02-27), insbesondere § 14 Abs. 2.

Dieser AVV gilt als Rahmenvertrag für alle zwischen den Parteien bestehenden und künftigen Einzelverträge, bei denen eine Auftragsverarbeitung stattfindet. Die projektspezifische Konkretisierung erfolgt in Anlage 1, die für jeden neuen Einzelvertrag gesondert auszufüllen ist.

Datenschutz-Ansprechpartner des Auftragsverarbeiters: Benjamin Schulz, E-Mail: datenschutz@aydoo.services

Ein Datenschutzbeauftragter gemäß § 38 BDSG ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen (weniger als 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt) nicht vorliegen.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der im Hauptvertrag beschriebenen Leistungen.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags, sofern sich aus diesem AVV keine darüber hinausgehenden Pflichten ergeben (insbesondere Löschpflichten nach § 10).

(3) Der Gegenstand der Verarbeitung ergibt sich aus dem Hauptvertrag. Typische Tätigkeiten umfassen:

  • Einrichtung und Konfiguration von CRM-Systemen, Kommunikationsplattformen und Automatisierungswerkzeugen;
  • Migration und Import von Kundendaten;
  • Konfiguration von E-Mail-Marketing- und WhatsApp-Kommunikation;
  • Entwicklung und Test von Automatisierungen, die personenbezogene Daten verarbeiten;
  • Wartung und Support bestehender Systeme mit Zugang zu personenbezogenen Daten;
  • Meeting-Transkription, -Analyse und automatisierte Protokollerstellung (§ 14 Abs. 4 lit. d AGB).

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung erfolgt ausschließlich zur Erfüllung der im Hauptvertrag vereinbarten Leistungen. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

(2) Die Art der Verarbeitung umfasst insbesondere:

  • Erheben, Erfassen und Speichern (im Rahmen von Datenmigration und Systemkonfiguration);
  • Auslesen, Abfragen und Verwenden (im Rahmen von Systemtests und Fehlerbehebung);
  • Verändern und Anpassen (im Rahmen von Datenbereinigung und -transformation);
  • Löschen und Vernichten (im Rahmen von Datenmigration und Systemumstellung);
  • Aufnehmen und Transkribieren (im Rahmen von Meeting-Transkription und -Analyse).

§ 3 Kategorien personenbezogener Daten

Die folgenden Kategorien personenbezogener Daten können Gegenstand der Verarbeitung sein (abschließende Festlegung im Hauptvertrag / Anlage 1):

  • a) Stammdaten: Name, Vorname, Anrede, Titel;
  • b) Kontaktdaten: E-Mail-Adresse, Telefonnummer, Mobilnummer, Anschrift;
  • c) Kommunikationsdaten: E-Mail-Verkehr, WhatsApp-Nachrichten, Chat-Verläufe, Kalendereinträge;
  • d) Vertragsdaten: Vertragsnummer, Vertragsstatus, Vertragsdaten, Kundenhistorie;
  • e) Nutzungsdaten: Login-Daten, IP-Adressen, Zeitstempel, Systemprotokolle;
  • f) Marketing-Daten: Opt-in-Status, Newsletter-Präferenzen, Kampagnenzuordnung, Lead-Quelle, Lead-Score;
  • g) Meeting-Daten: Stimmdaten (Audioaufnahmen), Transkripte, Gesprächsinhalte, Teilnehmernamen und -zuordnung im Rahmen der Meeting-Transkription (§ 14 Abs. 4 lit. d AGB).

Keine besonderen Kategorien: Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht Gegenstand dieses AVV. Sollte der Verantwortliche die Verarbeitung solcher Daten anweisen, ist eine gesonderte Vereinbarung erforderlich.

§ 4 Kategorien betroffener Personen

Betroffene Personen der Datenverarbeitung sind (abschließende Festlegung im Hauptvertrag / Anlage 1):

  • a) Kunden und Interessenten des Verantwortlichen;
  • b) Geschäftskontakte und Leads;
  • c) Mitarbeiter und Bewerber des Verantwortlichen (soweit deren Daten in den konfigurierten Systemen verarbeitet werden);
  • d) Ansprechpartner bei Geschäftspartnern des Verantwortlichen;
  • e) Meeting-Teilnehmer (soweit deren Stimm- und Gesprächsdaten im Rahmen der Meeting-Transkription verarbeitet werden).

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(3) Der Auftragsverarbeiter trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 8 dieses AVV).

(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).

(5) Weisungsformat: Weisungen werden in Textform (insbesondere E-Mail) erteilt. Mündlich erteilte Weisungen sind vom Verantwortlichen unverzüglich in Textform zu bestätigen.

(6) Der Auftragsverarbeiter führt ein Verzeichnis aller Kategorien von im Auftrag durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und stellt dieses dem Verantwortlichen sowie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

§ 6 Unterstützungspflichten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten des Verantwortlichen gemäß:

  • a) Art. 15-22 DSGVO (Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch);
  • b) Art. 32 DSGVO (Sicherheit der Verarbeitung);
  • c) Art. 33, 34 DSGVO (Meldung von Datenschutzverletzungen);
  • d) Art. 35, 36 DSGVO (Datenschutz-Folgenabschätzung und vorherige Konsultation).

(2) Anfragen betroffener Personen, die direkt an den Auftragsverarbeiter gerichtet werden, leitet dieser unverzüglich an den Verantwortlichen weiter.

(3) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens:

  • Art der Verletzung;
  • betroffene Datenkategorien und betroffene Personen (soweit bekannt);
  • wahrscheinliche Folgen;
  • ergriffene und vorgeschlagene Maßnahmen.

(4) Kostentragung: Die Unterstützung bei der erstmaligen Bearbeitung von Betroffenenanfragen und der Meldung von Datenschutzverletzungen erfolgt ohne gesonderte Vergütung. Darüber hinausgehender Aufwand — insbesondere bei umfangreichen Auskunftsersuchen, Datenschutz-Folgenabschätzungen oder wiederholten Audits — wird nach dem zum Zeitpunkt gültigen Stundensatz gemäß Preisliste vergütet.

§ 7 Unterauftragsverarbeiter (Subunternehmer)

(1) Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger allgemeiner schriftlicher Genehmigung des Verantwortlichen einsetzen (Art. 28 Abs. 2 DSGVO).

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 14 Tage vor dem geplanten Einsatz in Textform.

(3) Der Verantwortliche kann der Änderung innerhalb von 14 Tagen nach Zugang der Information widersprechen. Widerspricht der Verantwortliche, bemühen sich die Parteien um eine einvernehmliche Lösung. Kann keine Einigung erzielt werden, steht dem Verantwortlichen ein Sonderkündigungsrecht für den betroffenen Einzelvertrag zu.

(4) Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten wie in diesem AVV vereinbart (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten durch den Unterauftragsverarbeiter.

(5) Aktuelle Unterauftragsverarbeiter (Stand 2026-02-27):

UnterauftragsverarbeiterZweckSitzDrittlandtransfer
Fireflies AI Corp.Meeting-Transkription, -Speicherung, -AnalyseSan Francisco, CA, USAEU-US Data Privacy Framework (DPF) + SCCs

§ 8 Technische und organisatorische Maßnahmen (TOMs)

(1) Der Auftragsverarbeiter trifft die nachfolgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen sind dem Risiko angemessen und berücksichtigen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung.

8.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (physischer Zugang):

  • Büroräume nur mit Schlüssel/Code zugänglich
  • Remote-First-Arbeitsweise: Datenverarbeitung primär auf gesicherten Endgeräten

Zugangskontrolle (logischer Zugang):

  • Passwortrichtlinie: Mindestens 16 Zeichen, Passwort-Manager
  • Zwei-Faktor-Authentifizierung (2FA) für alle Systeme mit personenbezogenen Daten
  • Individuelle Benutzerkennungen (keine geteilten Accounts)
  • Automatische Bildschirmsperre nach 5 Minuten Inaktivität
  • Verschlüsselte Festplatten (FileVault / BitLocker, AES-256 oder gleichwertig)

Zugriffskontrolle (Berechtigungen):

  • Berechtigungskonzept nach Prinzip der minimalen Rechte (Least Privilege)
  • Regelmäßige Überprüfung der Zugriffsberechtigungen
  • Zugriff auf Kundendaten nur für am Projekt beteiligte Mitarbeiter

Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO):

  • Pseudonymisierung personenbezogener Daten in Test- und Entwicklungsumgebungen
  • Verwendung anonymisierter oder synthetischer Testdaten, soweit möglich

Trennungskontrolle:

  • Mandantentrennung in allen Systemen
  • Getrennte Umgebungen für Test- und Produktivdaten

8.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

  • Verschlüsselte Übertragung (TLS 1.2 oder höher, TLS 1.3 bevorzugt) für alle Datenübertragungen
  • Verschlüsselte E-Mail-Kommunikation bei Übermittlung personenbezogener Daten
  • Keine Übermittlung auf unverschlüsselten Datenträgern

Eingabekontrolle:

  • Protokollierung von Dateneingaben, -änderungen und -löschungen in den konfigurierten Systemen (soweit durch das jeweilige System unterstützt)

8.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

  • Regelmäßige Datensicherung der Arbeitsergebnisse
  • Einsatz von Cloud-Diensten mit redundanter Infrastruktur und SLA
  • Notfallkonzept für die Wiederherstellung der Verfügbarkeit nach Störungen

8.4 Überprüfung, Bewertung, Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

  • Jährliche Überprüfung der technischen und organisatorischen Maßnahmen
  • Datenschutzmanagement als Teil der Geschäftsprozesse
  • Sensibilisierung und Schulung der Mitarbeiter

§ 9 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche ist berechtigt, die Einhaltung der Bestimmungen dieses AVV und der einschlägigen Datenschutzvorschriften durch den Auftragsverarbeiter zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Dies umfasst:

  • a) Einholung von Auskünften des Auftragsverarbeiters;
  • b) Einsicht in relevante Dokumentationen und Nachweise;
  • c) Vor-Ort-Inspektionen nach vorheriger Ankündigung (mindestens 14 Tage).

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung.

(3) Inspektionen und Audits werden auf Kosten des Verantwortlichen durchgeführt und so gestaltet, dass der Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigt wird.

§ 10 Löschung und Rückgabe personenbezogener Daten

(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten und alle vorhandenen Kopien, sofern nicht eine Verpflichtung zur Speicherung der personenbezogenen Daten nach Unionsrecht oder dem Recht eines Mitgliedstaats besteht (Art. 28 Abs. 3 lit. g DSGVO).

(2) Auf Verlangen des Verantwortlichen, das innerhalb von 14 Tagen nach Beendigung des Hauptvertrags in Textform zu erklären ist, gibt der Auftragsverarbeiter die personenbezogenen Daten vor der Löschung in einem gängigen, maschinenlesbaren Format zurück.

(3) Die Löschung erfolgt innerhalb von 30 Tagen nach Beendigung des Hauptvertrags. Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Anfrage in Textform.

(4) Daten in Backup-Systemen werden im Rahmen des regulären Backup-Zyklus gelöscht, spätestens jedoch innerhalb von 90 Tagen nach Beendigung.

§ 11 Drittlandtransfer

(1) Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR).

(2) Eine Übermittlung in ein Drittland (außerhalb EU/EWR) darf nur erfolgen, wenn:

  • a) ein Angemessenheitsbeschluss der EU-Kommission vorliegt (Art. 45 DSGVO), oder
  • b) geeignete Garantien bestehen (Art. 46 DSGVO), insbesondere EU-Standardvertragsklauseln, oder
  • c) eine Ausnahme nach Art. 49 DSGVO greift.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen vorab über geplante Drittlandtransfers und die jeweilige Rechtsgrundlage.

§ 12 Haftung

(1) Die Haftung gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO.

(2) Im Innenverhältnis der Parteien richtet sich der Ausgleich nach dem jeweiligen Verursachungsbeitrag (Art. 82 Abs. 5 DSGVO).

(3) Für Schäden, die nicht unter Art. 82 DSGVO fallen, gelten die Haftungsregelungen des Hauptvertrags (§ 11 AGB).

§ 13 Schlussbestimmungen

(1) Dieser AVV ist Bestandteil des Hauptvertrags. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV hinsichtlich datenschutzrechtlicher Fragen vor.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen nicht berührt.

(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin.

Stand: 2026-02-27

Aydoo Services GmbH Kastanienallee 2, 10435 Berlin