AVV (Auftragsverarbeitung) | Christian Klopp
Nachricht erfolgreich gesendet!

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO (Datenschutz-Grundverordnung)

Durch die Bestätigung der rechtlichen Rahmenbedingungen im Anfrageformular (Opt-in), die Nutzung des gesicherten Kundenportals oder die aktive Inanspruchnahme unserer Vertriebsdienstleistungen schließt der Kunde (nachfolgend "Verantwortlicher") mit Christian Klopp (nachfolgend "Auftragsverarbeiter") folgenden Vertrag zur Auftragsverarbeitung ab.

1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dies geschieht ausschließlich zur Erbringung der im Hauptvertrag (Angebot/SLA) vereinbarten B2B-Vertriebsdienstleistungen (z.B. Kaltakquise, CRM-Pflege, Lead-Veredelung, Bereitstellung des Kundenportals).

Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages. Der Vertrag endet automatisch mit der Beendigung des Hauptvertrages.

2. Kreis der Betroffenen und Art der Daten

Im Rahmen der vertraglichen Akquise- und Vertriebstätigkeit werden regelmäßig folgende Datenarten verarbeitet:

  • Personenstammdaten (z.B. Vorname, Nachname, Position der B2B-Entscheider)
  • Kommunikationsdaten (z.B. geschäftliche Telefonnummern, E-Mail-Adressen, LinkedIn-Profile)
  • Vertrags- und Abrechnungsdaten (soweit für das CRM des Verantwortlichen relevant)
  • Gesprächsnotizen aus Telefonaten (z.B. BANT-Kriterien, Einwände, Bedarfsanalysen)

Kreis der Betroffenen: Potenzielle B2B-Leads, Interessenten, Bestandskunden und Geschäftspartner des Verantwortlichen.

3. Bereitstellung der "Lead Engine" (Keine Auftragsverarbeitung)

Wichtige Abgrenzung: Stellt der Auftragnehmer lediglich die technische Software "Lead Engine" zur Verfügung, mit der der Nutzer selbstständig Daten über Drittanbieter-APIs (z.B. Google Places) abruft, agiert der Auftragnehmer in Bezug auf diese abgerufenen Daten nicht als Auftragsverarbeiter. Der Nutzer ruft diese Daten in eigener Verantwortung (als alleiniger Verantwortlicher) ab und speichert sie lokal oder in eigenen Systemen ab.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich, die Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen zu verarbeiten. Er gewährleistet, dass alle zur Verarbeitung der Daten befugten Personen (z.B. eingesetzte Vertriebs-Freelancer) zur strengen Vertraulichkeit verpflichtet sind.

5. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO umgesetzt, um ein der DSGVO entsprechendes Schutzniveau für die verarbeiteten Daten zu gewährleisten. Hierzu zählen insbesondere:

  • Nutzung branchenführender und gesicherter Cloud-Infrastrukturen (z.B. Google Cloud, Firebase) mit obligatorischer Zwei-Faktor-Authentifizierung (2FA) für Admin-Zugänge.
  • Verschlüsselte Übertragung aller Datenbestände (SSL/TLS).
  • Ausschließlich rollenbasierter Zugriff (Need-to-Know-Prinzip) auf das CRM des Verantwortlichen.

6. Unterauftragsverhältnisse (Subunternehmer)

Der Auftragsverarbeiter nutzt zur Erbringung seiner IT-Infrastruktur und Kommunikationsdienste derzeit folgende etablierte Subunternehmer (Cloud-Dienste):

  • Google Ireland Limited / Google LLC (Hosting, Firebase Datenbanken, Cloud Storage, Google Workspace)
  • Spezifische CRM-Anbieter (z.B. HubSpot, Pipedrive), sofern die Nutzung nicht direkt über die eigenen Software-Lizenzen des Verantwortlichen abgewickelt wird.

Der Verantwortliche stimmt der Nutzung dieser Standard-Technologiedienstleister hiermit ausdrücklich zu. Da eine Verarbeitung teilweise auf Servern in den USA stattfinden kann, stellt der Auftragsverarbeiter sicher, dass angemessene Garantien bestehen (z.B. durch Zertifizierung der Anbieter unter dem EU-U.S. Data Privacy Framework (DPF) oder den Abschluss von EU-Standardvertragsklauseln).

7. Unterstützungspflichten bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten (z.B. Auskunft, Löschung gem. Art. 15-22 DSGVO).

8. Löschung und Rückgabe von Daten

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten restlos aus seinen lokalen und Cloud-Speichern (z.B. temporäre Lead-Listen, Export-Dateien), sofern keine gesetzlichen Aufbewahrungspflichten (z.B. steuerliche Dokumentationspflichten für Rechnungen) bestehen. Daten, die direkt im CRM des Verantwortlichen eingepflegt wurden, verbleiben in dessen alleiniger Hoheit.