Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

zwischen dem Kunden / Auftraggeber – nachfolgend Verantwortlicher – und LeadTS (Einzelunternehmen) Inhaberin: Rotinda Getiren Grünhainer Str. 8 08340 Schwarzenberg Deutschland – nachfolgend Auftragsverarbeiter –

1. Gegenstand des Vertrags

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform LeadTS. Die Verarbeitung erfolgt ausschließlich zur Bereitstellung und Durchführung der vertraglich vereinbarten SaaS-Leistungen.

2. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des zwischen den Parteien bestehenden Hauptvertrags über die Nutzung von LeadTS. Mit Beendigung des Hauptvertrags endet auch dieser AVV automatisch, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

3. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere: * Speicherung und Verwaltung von Lead- und CRM-Daten * Strukturierung und Kategorisierung von Kontaktdaten * Verarbeitung von Pipeline-, Funnel- und Statusinformationen * Import und Synchronisation über APIs / Integrationen / Webhooks * Bereitstellung von Analyse- und Workflow-Funktionen * Versand systembezogener Benachrichtigungen / Transaktionsmails

4. Art der personenbezogenen Daten

Je nach Nutzung können insbesondere folgende Daten verarbeitet werden: * Stammdaten (Name, Unternehmen) * Kontaktdaten (E-Mail, Telefonnummer) * Kommunikationsdaten * Lead- / Kampagnendaten * Funnel-/Pipeline-Daten * Umsatz- / Conversiondaten * benutzerdefinierte Felder des Verantwortlichen

5. Kategorien betroffener Personen

Von der Verarbeitung können insbesondere betroffen sein: * Interessenten / Leads * Kunden / Endkunden * Ansprechpartner von Unternehmen * Mitarbeiter / Nutzer des Verantwortlichen

6. Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit keine gesetzliche Verpflichtung zur Verarbeitung besteht.

7. Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sich, sämtliche mit der Datenverarbeitung befassten Personen auf Vertraulichkeit zu verpflichten und zur Wahrung der Vertraulichkeit anzuhalten.

8. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die aktuell geltenden TOMs ergeben sich aus Anlage 1 dieses Vertrags.

9. Unterauftragsverarbeiter

Der Verantwortliche erteilt die allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern. Die aktuell eingesetzten Unterauftragsverarbeiter ergeben sich aus Anlage 2 dieses Vertrags. Der Auftragsverarbeiter wird den Verantwortlichen über wesentliche Änderungen informieren.

10. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen im angemessenen Umfang bei: * Auskunftsersuchen Betroffener * Löschungs-/Berichtigungsersuchen * Datenschutz-Folgenabschätzungen * Sicherheitsvorfällen / Datenschutzverletzungen * Nachweispflichten gegenüber Aufsichtsbehörden Soweit hierfür ein erheblicher Zusatzaufwand entsteht, kann eine angemessene Vergütung verlangt werden.

11. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden über Verletzungen des Schutzes personenbezogener Daten, soweit diese die im Auftrag verarbeiteten Daten betreffen.

12. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags in angemessenem Umfang zu überprüfen oder durch geeignete Nachweise prüfen zu lassen. Der Auftragsverarbeiter kann geeignete Nachweise, Zertifikate, Dokumentationen oder Selbstauskünfte bereitstellen. Vor-Ort-Kontrollen bedürfen angemessener Vorankündigung und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.

13. Rückgabe und Löschung von Daten

Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter personenbezogene Daten nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Backups und technisch bedingte Sicherungskopien bleiben hiervon bis zur routinemäßigen Löschung unberührt.

14. Haftung

Es gelten die gesetzlichen Haftungsregelungen der DSGVO sowie ergänzend die Haftungsregelungen des Hauptvertrags.

15. Schlussbestimmungen

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt das Recht der Bundesrepublik Deutschland.

Anlage 1 – Technische und Organisatorische Maßnahmen (TOMs)

Vertraulichkeit * Zugriff nur für autorisierte Personen * Rollen- und Berechtigungskonzepte * Passwortschutz / Authentifizierungssysteme * Verpflichtung auf Vertraulichkeit Integrität * TLS-/HTTPS-Verschlüsselung * Schutz vor unbefugter Veränderung * Protokollierung relevanter Systemereignisse Verfügbarkeit * Backup- und Wiederherstellungsmechanismen * Monitoring kritischer Systeme * Schutz vor Ausfällen / Lastspitzen Belastbarkeit / Sicherheit * Sicherheitsupdates / Patchmanagement * Firewalls / Schutzmechanismen der Infrastruktur * Rate Limits / Missbrauchsschutz Trennung / Mandantenfähigkeit * Logische Trennung von Kundendaten * Rollenbasierte Zugriffsbeschränkungen * Workspace-/Mandantenkonzepte innerhalb der Plattform

Anlage 2 – Unterauftragsverarbeiter / Subprocessor

Anbieter Zweck Standort / Transfer Supabase Datenbank / Backend / Auth EU Vercel Hosting / Frontend EU / USA Stripe Zahlungsabwicklung EU / USA Resend E-Mail Versand USA Nango OAuth / Integrationen USA / EU Google OAuth / Integrationen USA Meta Platforms Lead-Integrationen USA

Anlage 3 – Weisungsregelung

Weisungen des Verantwortlichen erfolgen grundsätzlich über: * Konfiguration der Plattform durch den Verantwortlichen * Einstellungen / Nutzung innerhalb des Accounts * schriftliche oder textförmige Weisungen per E-Mail / Support