Auftragsverarbeitungsvertrag (AVV)

1. Gegenstand und Dauer der Vereinbarung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „Sternflut". Der Auftrag umfasst insbesondere:

• den Versand von Bewertungsanfragen per E-Mail, SMS und WhatsApp an Endkunden des Auftraggebers,
• die Aggregation und Darstellung von Bewertungen aus Drittplattformen (u. a. Google, Facebook, Trustpilot, Instagram),
• die Verwaltung eingehender Nachrichten (Posteingang für WhatsApp, Telegram, SMS, E-Mail),
• die Erstellung von Analysen und Stimmungsauswertungen (KI-gestützt, transiente Verarbeitung),
• die Bereitstellung eines einbettbaren Bewertungs-Widgets für die Website des Auftraggebers.

Die Dienstleistung wird über Server in der Europäischen Union erbracht (Supabase: EU Frankfurt; Vercel: EU Frankfurt als primärer Serverstandort). Soweit Unterauftragsverarbeiter in Drittländern eingesetzt werden, erfolgt die Datenübermittlung auf Grundlage des EU-US Data Privacy Framework und/oder Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DS-GVO.

Dauer des Auftrags: Der Vertrag ist an die Laufzeit des Hauptvertrags (AGB) gebunden und endet automatisch mit dessen Beendigung. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

Zweck der Verarbeitung: Verarbeitung personenbezogener Daten von Endkunden des Auftraggebers zum Zweck des Versands von Bewertungsanfragen, der Aggregation von Bewertungen, der Verwaltung von Kundenkommunikation und der Erstellung von Analysen.

Art der Verarbeitung: Erheben, Erfassen, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Übermitteln, Abgleichen, Verknüpfen, Einschränken, Löschen, Vernichten.

Art der personenbezogenen Daten:

• Vor- und Nachnamen von Endkunden
• E-Mail-Adressen von Endkunden
• Telefonnummern von Endkunden
• Bewertungsinhalte und -bewertungen (Sternebewertungen, Freitextbewertungen)
• Private Rückmeldungen (Feedback-Texte)
• Nachrichteninhalte (WhatsApp, Telegram, SMS, E-Mail — verschlüsselt gespeichert)
• Anonymisierte IP-Hashes (SHA-256 mit täglich rotierendem Salt, zur Deduplizierung)

Besondere Kategorien personenbezogener Daten (Art. 9 DS-GVO) werden nicht verarbeitet.

Kategorien betroffener Personen: Endkunden (Kunden, Patienten, Gäste, Klienten o. Ä.) des Auftraggebers.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Der Auftragnehmer ist verpflichtet, erkennbar an den Auftraggeber gerichtete Anfragen unverzüglich weiterzuleiten.

Der Auftraggeber erteilt Weisungen in der Regel über die Benutzeroberfläche der Plattform. Ergänzende oder abweichende Weisungen sind in Textform (per E-Mail an info@sternflut.de) zu erteilen.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.

4. Weisungsberechtigte und Weisungsempfänger

Weisungsberechtigte des Auftraggebers: Der Inhaber des Kundenkontos sowie von diesem als Administratoren eingerichtete Teammitglieder.

Weisungsempfänger beim Auftragnehmer: Timo Brenner, E-Mail: info@sternflut.de

5. Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten hierzu verpflichtet ist (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

Der Auftragnehmer verwendet die überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt, mit Ausnahme technisch notwendiger Sicherungskopien (Backups).

Der Auftragnehmer sichert zu, dass die für den Auftraggeber verarbeiteten Daten durch Row-Level Security (RLS) auf Datenbankebene logisch von den Daten anderer Auftraggeber getrennt werden.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgenabschätzungen hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO).

Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO).

Auskünfte über personenbezogene Daten an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Kontrollrechte (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO): Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften zu kontrollieren durch: (a) Einholung von Auskünften in Textform, (b) Einsichtnahme in Dokumentationen und Prüfberichte, (c) nach vorheriger Terminvereinbarung (mindestens 14 Tage im Voraus): Überprüfungen und Inspektionen vor Ort. Kontrollen dürfen höchstens einmal pro Kalenderjahr durchgeführt werden, sofern kein konkreter Anlass eine häufigere Kontrolle erfordert.

Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragnehmer sichert zu, dass die beschäftigten Mitarbeiter mit den maßgebenden Bestimmungen des Datenschutzes vertraut sind und zur Verschwiegenheit verpflichtet wurden (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO).

Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit nicht vorliegt (BDSG § 38). Bei Fragen zum Datenschutz: info@sternflut.de

6. Mitteilungspflichten bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer teilt dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung, Störungen, Verstöße gegen datenschutzrechtliche Bestimmungen sowie den Verdacht auf Datenschutzverletzungen mit. Der Auftragnehmer unterstützt den Auftraggeber bei seinen Pflichten nach Art. 33 und 34 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Die Meldung enthält mindestens:

• eine Beschreibung der Art der Verletzung,
• die betroffenen Datenkategorien und die ungefähre Anzahl der betroffenen Personen,
• eine Beschreibung der wahrscheinlichen Folgen,
• eine Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 2 DS-GVO)

Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 Satz 1 DS-GVO.

Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung bezüglich Subunternehmern mindestens 14 Tage vor der geplanten Änderung per E-Mail. Der Auftraggeber hat das Recht, gegen die Änderung innerhalb von 14 Tagen nach Zugang der Mitteilung Einspruch zu erheben (Art. 28 Abs. 2 Satz 2 DS-GVO).

Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt. Beauftragung in Drittstaaten erfolgt nur unter Art. 44 ff. DS-GVO.

Aktuelle Liste der Subunternehmer

Hinweis: Sofern der Auftraggeber eigene E-Mail-Konten (Gmail, Outlook oder sonstige SMTP-Server) mit der Plattform verbindet, sind die jeweiligen E-Mail-Anbieter des Auftraggebers keine Subunternehmer des Auftragnehmers.

8. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO

Vertraulichkeit

• AES-256-GCM Verschlüsselung personenbezogener Daten (at Rest)
• HKDF-basierte Schlüsselableitung pro Auftraggeber
• TLS 1.2+ Verschlüsselung der Datenübertragung (in Transit)
• Row-Level Security (RLS) auf sämtlichen Datenbanktabellen
• HMAC-signierte Cookies zur Sitzungsverwaltung
• Rollenbasierte Zugriffskontrolle (Eigentümer, Admin, Mitglied)
• Vertraulichkeitsverpflichtung aller beschäftigten Personen

Integrität

• Origin-basierter CSRF-Schutz auf allen schreibenden Endpunkten
• HMAC-Signierung sicherheitsrelevanter Cookies und Token
• Schutz-Trigger auf sensiblen Datenbankfeldern
• Eingabevalidierung und Bereinigung auf allen API-Endpunkten

Verfügbarkeit und Belastbarkeit

• Hosting bei Vercel (globales Edge-Netzwerk mit Failover)
• Datenbank bei Supabase (EU Frankfurt, automatische Backups)
• DDoS-Schutz durch Cloudflare
• Angestrebte Verfügbarkeit von 99,5 % im Jahresmittel

Regelmäßige Überprüfung

• Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen
• Automatisierte Löschung personenbezogener Daten gemäß Aufbewahrungsfristen
• Admin-Audit-Logging mit 1 Jahr Aufbewahrung
• IP-Adressen werden nicht gespeichert (nur SHA-256-Hashes mit täglichem Salt)

Datenschutz durch Technikgestaltung (Art. 25 DS-GVO)

• Verschlüsselung aller Drittanbieter-API-Zugangsdaten
• Datenminimierung: An KI-Dienste (Anthropic) werden keine Kontaktdaten übermittelt
• Pseudonymisierung: Endkunden-Kontaktdaten verschlüsselt, IPs nur als Hashes

9. Verpflichtungen nach Beendigung des Auftrags (Art. 28 Abs. 3 Satz 2 lit. g DS-GVO)

Nach Beendigung des Vertrags löscht der Auftragnehmer — nach Wahl des Auftraggebers — sämtliche im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie an den Auftraggeber zurück. Die Rückgabe erfolgt über die Datenexport-Funktion der Plattform in einem strukturierten, gängigen und maschinenlesbaren Format (JSON). Nach erfolgter Rückgabe oder nach Ablauf der Exportfrist werden die Daten gelöscht.

Versandprotokolle, die als abrechnungsrelevant gelten, werden anonymisiert und gemäß den steuerrechtlichen Aufbewahrungsfristen (AO § 147) aufbewahrt. Die Löschung wird dem Auftraggeber auf Verlangen in Textform bestätigt.

10. Vergütung

Die Verarbeitung personenbezogener Daten im Rahmen dieses Vertrages ist in der Vergütung des Hauptvertrages (AGB) enthalten. Eine gesonderte Vergütung für die Auftragsverarbeitung fällt nicht an.

11. Haftung

Auf Art. 82 DS-GVO wird verwiesen. Im Übrigen gelten die Haftungsregelungen der Allgemeinen Geschäftsbedingungen (AGB § 8).

12. Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.

(2) Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

(3) Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen.

(4) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. An die Stelle der unwirksamen Bestimmung treten die gesetzlichen Vorschriften (§ 306 Abs. 2 BGB).

(5) Auf diesen Vertrag findet das Recht der Bundesrepublik Deutschland Anwendung.

(6) Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

(7) Im Falle von Widersprüchen zwischen diesem Auftragsverarbeitungsvertrag und sonstigen Vereinbarungen zwischen den Parteien hat dieser Auftragsverarbeitungsvertrag Vorrang hinsichtlich des Schutzes personenbezogener Daten.

(8) Dieser Vertrag wird mit der Registrierung des Auftraggebers auf der Plattform und der Akzeptanz der AGB geschlossen. Eine gesonderte Unterschrift ist nicht erforderlich (Art. 28 Abs. 9 DS-GVO: der Vertrag kann in elektronischem Format abgefasst werden).