Anlage – Auftragsverarbeitungsvertrag (AVV)

Vertrag über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO

zwischen

Pro-Funnel
Dirk Otta
Stöcken 69

42651 Solingen

E-Mail: [email protected]
Deutschland

– nachfolgend „Auftragsverarbeiter“ –

und

dem jeweiligen Kunden
– nachfolgend „Auftraggeber“ –

1. Gegenstand der Auftragsverarbeitung

1.1 Gegenstand des Vertrags

Der Auftragsverarbeiter stellt dem Auftraggeber eine Software-as-a-Service-Plattform (SaaS) unter der Marke Pro-Funnel zur Verfügung.
Die Plattform basiert auf einer White-Label-Infrastruktur und dient der Digitalisierung, Automatisierung und Verwaltung von Marketing-, Vertriebs- und Kommunikationsprozessen.

Im Rahmen der Nutzung kann der Auftraggeber personenbezogene Daten erfassen, speichern, verarbeiten und verwalten.

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Weisung des Auftraggebers und nur zur Erfüllung der vertraglich vereinbarten Leistungen.

2. Art und Zweck der Auftragsverarbeitung

Die Auftragsverarbeitung umfasst insbesondere folgende Tätigkeiten:

2.1 Erhebung und Speicherung

Speicherung von Kontakt-, Kommunikations- und Kundendaten

Speicherung von Transaktions- und Nutzungsdaten

Speicherung von Login-, System- und Aktivitätsdaten

2.2 Verwaltung und Organisation

CRM-Funktionen zur Verwaltung von Leads und Kunden

Automatisierung von Marketing-, Vertriebs- und Serviceprozessen

Segmentierung, Kategorisierung und Historisierung von Interaktionen

2.3 Kommunikation und Marketing

Versand von E-Mails, SMS, WhatsApp-Nachrichten und Voice-Kommunikation

Automatisierte Follow-ups, Kampagnen und Benachrichtigungen

Tracking und Auswertung von Interaktionen

2.4 Analyse und Reporting

Erstellung von Statistiken und Performance-Reports

Bereitstellung von Dashboards zur Erfolgsmessung

2.5 Integration von Drittanbietern

Zahlungsdienstleister (z. B. Stripe)

Kommunikationsanbieter (z. B. Twilio, WhatsApp)

Analyse-, Tracking- und Marketing-Dienste

2.6 Hosting und Datenspeicherung

Speicherung der Daten auf Servern autorisierter Unterauftragsverarbeiter

Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit

2.7 Datenlöschung

Löschung oder Anonymisierung gemäß Weisung des Auftraggebers oder gesetzlichen Vorgaben

3. Kategorien betroffener Personen

Kunden, Interessenten und Leads des Auftraggebers

Mitarbeiter des Auftraggebers

Nutzer der Plattform

4. Kategorien personenbezogener Daten

Stammdaten (Name, Adresse, E-Mail, Telefonnummer)

Kommunikationsdaten (E-Mails, Chats, Telefonnotizen)

Nutzungs- und Systemdaten (Logins, IP-Adressen, Geräteinformationen)

Marketing- und Trackingdaten

Transaktions- und Abrechnungsdaten

5. Besondere Verpflichtungen

Es werden keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet

Der Auftraggeber ist verantwortlich für:

Rechtmäßigkeit der Datenerhebung

Einholung erforderlicher Einwilligungen

Der Auftragsverarbeiter übernimmt keine Prüfungspflicht hinsichtlich der Rechtmäßigkeit der Datenerhebung durch den Auftraggeber

6. Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis einer Datenschutzverletzung gemäß Art. 33 DSGVO.

Die Meldung enthält mindestens:

Art der Verletzung

Betroffene Daten & Personenkategorien

Voraussichtliche Folgen

Ergriffene oder geplante Gegenmaßnahmen

Kontaktstelle / Datenschutzverantwortlicher

7. Unterauftragsverhältnisse

Unterauftragsverarbeiter werden sorgfältig ausgewählt

TOMs werden geprüft

Nebenleistungen (z. B. Reinigung, Wartung) gelten nicht als Unterauftragsverarbeitung

Datenschutz wird dennoch sichergestellt

8. Räumlicher Bereich

Verarbeitung innerhalb der EU / des EWR

Drittstaaten nur bei:

Angemessenheitsbeschluss

Standardvertragsklauseln (SCC)

Anerkannten Datenschutzgarantien

9. Pflichten des Auftraggebers

Unverzügliche Information bei Datenschutzproblemen

Unterstützung des Auftragsverarbeiters bei Betroffenenanfragen und Behördenkontakten

10. Laufzeit & Vertragsende

Laufzeit entspricht dem Hauptvertrag

Verpflichtungen wirken über das Vertragsende hinaus

Dokumentationen werden mindestens 3 Jahre aufbewahrt

Daten werden gelöscht oder zurückgegeben

11. Schlussbestimmungen

Gerichtsstand gemäß Hauptvertrag

Schriftform auch elektronisch

Salvatorische Klausel

Bestandteil des Hauptvertrags

Anhang 1 – Technisch-organisatorische Maßnahmen (TOMs)

(inhaltlich identisch, sprachlich neutralisiert und vollständig DSGVO-konform)

Datenschutz-Management-System

Privacy by Design & Default

Regelmäßige Sicherheits- und Pen-Tests

Verschlüsselung & Zugriffskontrollen

Rollen- & Berechtigungskonzepte

Zwei-Faktor-Authentifizierung

Protokollierung & Monitoring

Lösch- & Sperrkonzepte

Schulung & Verpflichtung der Mitarbeiter

Home-Office-Sicherheitsrichtlinien

Anhang 2 – Unterauftragsverarbeiter (Auszug)

GoHighLevel LLC – Plattformbetrieb

Amazon Web Services (AWS) – Infrastruktur

Twilio / SendGrid / Mailgun – Kommunikation

Meta Platforms Ireland Ltd. – Marketing & Tracking

Google Ireland Ltd. – Analyse

Stripe – Zahlungsabwicklung

WhatsApp Ireland Ltd. – Messaging

(inkl. AVV / DPA gemäß Anbieterbedingungen)