gemäß Art. 28 DSGVO (Datenschutz-Grundverordnung)
zwischen
Tom Redikop
Oerlinghauser Str. 22, 32758 Detmold
(nachfolgend „Auftraggeber")
— UND —
[KUNDENNAME]
[ADRESSE]
(nachfolgend „Auftragnehmer" / Verantwortlicher)
wird folgender Auftragsverarbeitungsvertrag geschlossen:
(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Rechte und Pflichten des Auftraggebers und des Auftragnehmers im Rahmen der Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.
(2) Gegenstand des AVV ist die Erbringung der im Hauptvertrag vereinbarten Leistungen durch den Auftraggeber (Rescora – AI Sales Co-Pilot Software), bei der personenbezogene Daten des Auftragnehmers bzw. der durch ihn Beauftragten verarbeitet werden.
(3) Der AVV beginnt mit Unterzeichnung und gilt für die Dauer des Hauptvertrags. Er endet automatisch mit Beendigung des Hauptvertrags, sofern sich aus den nachfolgenden Regelungen nichts anderes ergibt.
(1) Der Auftraggeber verarbeitet im Auftrag des Auftragnehmers folgende Kategorien personenbezogener Daten:
(2) Zweck der Verarbeitung ist die Bereitstellung des Rescora AI Sales Co-Pilot, einschließlich:
(3) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftragnehmers, es sei denn, der Auftraggeber ist rechtlich zur Verarbeitung verpflichtet.
(1) Weisungsgebundenheit: Der Auftraggeber verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftragnehmers. Weisungen erfolgen initial durch diesen Vertrag und können vom Auftragnehmer schriftlich oder per E-Mail erteilt werden. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn eine erteilte Weisung gegen geltendes Datenschutzrecht verstößt.
(2) Vertraulichkeit: Der Auftraggeber stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Technische und organisatorische Maßnahmen: Der Auftraggeber trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (siehe § 4).
(4) Unterstützungspflichten: Der Auftraggeber unterstützt den Auftragnehmer bei der Erfüllung von Betroffenenrechten, Datenschutz-Folgenabschätzungen sowie der Meldung von Datenpannen.
(5) Meldepflicht: Datenverletzungen werden dem Auftragnehmer unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, gemeldet.
Der Auftraggeber hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:
| Maßnahme | Umsetzung |
|---|---|
| Hosting & Infrastruktur | Ausschließlich EU-Hosting (Hostinger VPS, Standort EU). Keine Datenübertragung außerhalb des EWR ohne geeignete Garantien. |
| Verschlüsselung (Transport) | TLS 1.2/1.3 für alle Datenübertragungen. HTTPS-Pflicht für alle Endpunkte. |
| Verschlüsselung (Speicher) | Verschlüsselung sensibler Datenbankfelder. Verschlüsselte Backups. |
| Zugriffskontrolle | Rollenbasiertes Berechtigungssystem. Prinzip der minimalen Rechtevergabe. Multi-Faktor-Authentifizierung für Admin-Zugänge. |
| Pseudonymisierung | Interne Verarbeitung mit pseudonymen IDs wo möglich. |
| Verfügbarkeit | Regelmäßige automatisierte Backups. Monitoring und Alerting bei Ausfällen. |
| Audit-Logging | Protokollierung aller Datenzugriffe und administrativen Aktionen. |
| Sicherheitsprüfungen | Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen. |
(1) Der Auftragnehmer erteilt hiermit die allgemeine Genehmigung zum Einsatz folgender Unterauftragnehmer:
| Unterauftragnehmer | Leistung | Standort |
|---|---|---|
| Hostinger International Ltd. | VPS-Hosting, Datenbankhosting, Infrastruktur | EU (Litauen) |
| OpenAI, LLC | KI-Verarbeitung (Deal Health Score, Next Best Action, Zusammenfassungen). Daten werden gemäß OpenAI Data Processing Agreement verarbeitet. Kein Training auf Kundendaten. | USA (Standardvertragsklauseln gem. Art. 46 DSGVO) |
(2) Der Auftraggeber informiert den Auftragnehmer über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder des Austauschs von Unterauftragnehmern. Der Auftragnehmer kann gegen solche Änderungen Widerspruch einlegen.
(3) Der Auftraggeber stellt vertraglich sicher, dass Unterauftragnehmer dieselben Datenschutzverpflichtungen einhalten wie dieser AVV.
(1) Der Auftraggeber unterstützt den Auftragnehmer nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Rechte betroffener Personen:
(2) Anfragen betroffener Personen werden dem Auftragnehmer unverzüglich, spätestens innerhalb von 72 Stunden, weitergeleitet. Der Auftraggeber beantwortet Anfragen nicht eigenständig, es sei denn, der Auftragnehmer hat ihn dazu ausdrücklich beauftragt.
(1) Nach Beendigung des Hauptvertrags löscht oder gibt der Auftraggeber alle personenbezogenen Daten nach Wahl des Auftragnehmers zurück, es sei denn, eine Verpflichtung zur Speicherung nach Unionsrecht oder nationalem Recht besteht.
(2) Die Löschung erfolgt spätestens 30 Tage nach Vertragsende. Der Auftraggeber bestätigt die Löschung schriftlich auf Anfrage.
(3) Backups werden innerhalb der regulären Backup-Rotationszyklen, spätestens jedoch 90 Tage nach Vertragsende, unwiderruflich gelöscht.
(1) Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen gemäß Art. 82 DSGVO. Jede Partei haftet für den Schaden, den sie durch eine nicht dem AVV entsprechende Verarbeitung verursacht hat.
(2) Im Innenverhältnis haftet der Auftraggeber nur für Schäden, die durch Verstöße gegen die ihm in diesem AVV auferlegten Pflichten entstanden sind oder wenn er außerhalb der rechtmäßigen Anweisungen des Auftragnehmers gehandelt hat.
(3) Die Haftung des Auftraggebers für mittelbare Schäden, entgangenen Gewinn und sonstige Folgeschäden ist auf das im Hauptvertrag vereinbarte jährliche Entgelt begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegen.
(1) Vorrang: Dieser AVV hat Vorrang vor sonstigen Vereinbarungen zwischen den Parteien, soweit er Regelungen zum Datenschutz enthält.
(2) Anpassungen: Änderungen dieses AVV bedürfen der Schriftform. Dies gilt auch für eine Änderung dieses Schriftformerfordernisses.
(3) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(4) Anwendbares Recht: Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
(5) Gerichtsstand: Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Detmold, sofern der Auftragnehmer Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
(6) Kontakt Datenschutz: Datenschutzanfragen sind zu richten an: Tom Redikop, Oerlinghauser Str. 22, 32758 Detmold, E-Mail: tom@rescora.de