Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO (Datenschutz-Grundverordnung)

Dieser Auftragsverarbeitungsvertrag (AVV) wird im Rahmen unserer B2B-Dienstleistungen elektronisch geschlossen. Durch die Bestätigung der rechtlichen Rahmenbedingungen im Anfrageformular (Opt-in), die Nutzung des gesicherten Kundenportals oder die Inanspruchnahme unserer SaaS-Dienste (Managed Setup) schließt der Kunde (nachfolgend "Verantwortlicher") mit Christian Klopp (nachfolgend "Auftragsverarbeiter") diesen Vertrag rechtsgültig ab. Eine physische Unterschrift ist nicht erforderlich. Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen (AGB).

1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dies geschieht ausschließlich zur Erbringung der im Hauptvertrag (Angebot/SLA) vereinbarten Dienstleistungen. Hierzu zählen klassische Vertriebsdienstleistungen (z.B. Kaltakquise, CRM-Pflege) sowie explizit die Bereitstellung, Wartung und das Hosting der "Freelancer Web-OS" Infrastruktur im Rahmen eines Managed Setups.

Ausnahme (Source Code Edition): Erwirbt der Verantwortliche lediglich den reinen HTML/JS-Quellcode des Systems ("Self-Service Edition") und hostet dieses auf einer eigenen Server-Infrastruktur mit eigenen Datenbank-Anbindungen, findet insoweit keine Auftragsverarbeitung durch uns statt.

Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages. Der Vertrag endet automatisch mit der Beendigung des Hauptvertrages oder der Einstellung des Managed Hostings.

2. Kreis der Betroffenen und Art der Daten

Im Rahmen der vertraglichen Akquise- und Hosting-Tätigkeit werden regelmäßig folgende Datenarten verarbeitet:

Personenstammdaten (z.B. Vorname, Nachname, Position der B2B-Entscheider)
Kommunikationsdaten (z.B. geschäftliche Telefonnummern, E-Mail-Adressen, Social-Media-Profile)
Daten aus dem integrierten Web-OS CRM und den KI-Chats (im Falle des Managed Setups)
Gesprächsnotizen aus Telefonaten (z.B. BANT-Kriterien, Einwände, Bedarfsanalysen)
Projektdokumente, Briefings und Dateien, die der Verantwortliche über das gesicherte Kundenportal in den Cloud-Speicher hochlädt, insofern diese personenbezogene Daten Dritter enthalten.

Kreis der Betroffenen: Potenzielle B2B-Leads, Interessenten, Bestandskunden und Geschäftspartner des Verantwortlichen.

3. Bereitstellung der "Lead Engine" (Keine Auftragsverarbeitung)

Wichtige Abgrenzung: Stellt der Auftragnehmer dem Kunden die technische Software "Lead Engine" zur Verfügung, mit der dieser selbstständig Daten über Drittanbieter-APIs (z.B. Google Places) abruft, agiert der Auftragnehmer in Bezug auf diese abgerufenen Lead-Daten nicht als Auftragsverarbeiter. Der Kunde ruft diese Daten in eigener Verantwortung als alleiniger Verantwortlicher ab und speichert sie lokal ab. Es findet keine Zwischenspeicherung dieser Fremddaten auf den Servern des Auftragnehmers statt.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich, die Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen zu verarbeiten. Er gewährleistet, dass alle zur Verarbeitung der Daten befugten Personen (z.B. eingesetzte System-Administratoren oder Vertriebs-Freelancer) zur strengen Vertraulichkeit verpflichtet sind.

5. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO umgesetzt, um ein der DSGVO entsprechendes Schutzniveau für die verarbeiteten Daten zu gewährleisten. Hierzu zählen insbesondere:

Nutzung branchenführender und gesicherter Cloud-Infrastrukturen (Google Cloud Platform, Firebase Firestore, Firebase Storage) mit obligatorischer Zwei-Faktor-Authentifizierung (2FA) für Admin-Zugänge.
Einsatz von reCAPTCHA Enterprise und Firebase App Check zur serverseitigen Absicherung von Datenbankzugriffen.
Verschlüsselte Übertragung aller Datenbestände (SSL/TLS).
Ausschließlich rollenbasierter Zugriff (Need-to-Know-Prinzip) auf das CRM des Verantwortlichen und das Dokumenten-Portal.

6. Unterauftragsverhältnisse (Subunternehmer)

Der Auftragsverarbeiter nutzt zur Erbringung seiner IT-Infrastruktur und Hosting-Dienste derzeit folgende etablierte Subunternehmer (Cloud-Dienste):

Google Cloud EMEA Limited, Irland / Google LLC, USA (Bereitstellung der Server-Infrastruktur, Firebase Firestore Datenbanken und sicherer Firebase Cloud Storage für das Kundenportal und das Web-OS Managed Setup).
Google Ireland Limited, Irland (Bereitstellung der Gemini KI-API für in das System integrierte Sprach- und Textanalysen).

Der Verantwortliche stimmt der Nutzung dieser Standard-Technologiedienstleister hiermit ausdrücklich zu. Da eine Verarbeitung teilweise auf Servern in den USA stattfinden kann, stellt der Auftragsverarbeiter sicher, dass angemessene Garantien bestehen (Zertifizierung der Anbieter unter dem EU-U.S. Data Privacy Framework (DPF) und den Abschluss von EU-Standardvertragsklauseln).

7. Unterstützungspflichten bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten (z.B. Auskunft, Löschung gem. Art. 15-22 DSGVO).

8. Löschung und Rückgabe von Daten

Nach Abschluss der Erbringung der Verarbeitungsleistungen (z.B. Kündigung des Managed Hostings) löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten restlos aus seinen Cloud-Speichern (z.B. Web-OS Datenbanken, temporäre Lead-Listen), sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Weitere Informationen zur Datenverarbeitung finden Sie in unserer Datenschutzerklärung. Der Verantwortliche hat die Möglichkeit, vor Vertragsende eigenständig ein vollständiges Backup (ZIP/JSON) seiner Daten über das System-Hub zu generieren und herunterzuladen.