Auftragsverarbeitungsvertrag (AVV)

Stand: 21. April 2026 | gemäß Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen dem Kunden von NachTakt (nachfolgend „Verantwortlicher“) und:

Tom Falkenberg
tätig unter: TF Digital
Straße der Deutschen Einheit 8
39326 Wolmirstedt
E-Mail: info@nachtakt.de

(nachfolgend „Auftragsverarbeiter“).

Der AVV ergänzt die Allgemeinen Geschäftsbedingungen und ist Bestandteil des Hauptvertrages. Begriffe, die in diesem AVV verwendet werden, haben die gleiche Bedeutung wie in der DSGVO, sofern nicht anders definiert.

§ 1 Gegenstand, Dauer und Art der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten. Gegenstand der Verarbeitung ist die Bereitstellung der Software „NachTakt“ zur After-Sales-Automatisierung, insbesondere:

  • Speicherung und Verwaltung von Kundendaten des Verantwortlichen
  • Automatisierter Versand von E-Mails an Endkunden des Verantwortlichen
  • Verarbeitung von Feedback- und Bewertungsdaten
  • Erstellung von Auswertungen und Statistiken

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (NachTakt-Abonnement). Der AVV endet automatisch mit Beendigung des Hauptvertrages.

(3) Die Art der Verarbeitung umfasst: Erheben, Erfassen, Speichern, Verändern, Übermitteln (E-Mail-Versand), Abgleichen, Einschränken und Löschen personenbezogener Daten.

§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen

(1) Folgende Arten personenbezogener Daten werden verarbeitet:

  • E-Mail-Adressen der Endkunden
  • Namen der Endkunden
  • Auftragsbeschreibungen / Jobbeschreibungen
  • Datum des Auftragsabschlusses
  • Feedback- und Bewertungsdaten (Sternebewertung, Freitextnachrichten)
  • Interaktionsdaten (Klickzeitpunkte, Abmeldestatus)

(2) Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO werden nicht verarbeitet.

(3) Kategorien betroffener Personen: Endkunden des Verantwortlichen (natürliche Personen, die eine Dienstleistung des Verantwortlichen in Anspruch genommen haben).

§ 3 Pflichten und Rechte des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen nach der DSGVO allein verantwortlich.

(2) Der Verantwortliche hat das Recht, dem Auftragsverarbeiter Weisungen hinsichtlich der Art, des Umfangs und des Verfahrens der Datenverarbeitung zu erteilen. Weisungen werden anfänglich durch diesen AVV und die Nutzung der Software festgelegt. Darüber hinausgehende Weisungen bedürfen der Textform.

(3) Der Verantwortliche stellt sicher, dass er über die erforderlichen Rechtsgrundlagen (insbesondere Einwilligungen gemäß Art. 6 Abs. 1 lit. a DSGVO oder berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO) für die Übermittlung personenbezogener Daten an den Auftragsverarbeiter verfügt.

§ 4 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Dies schließt die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation ein, es sei denn, der Auftragsverarbeiter ist durch Unionsrecht oder das Recht des Mitgliedstaats dazu verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

(3) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(4) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Die konkreten Maßnahmen sind in Anlage 1 zu diesem AVV beschrieben.

(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Anfragen betroffener Personen nach Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

(6) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(7) Die Bestellung eines Datenschutzbeauftragten ist nach § 38 BDSG nicht erforderlich. Ansprechpartner für Datenschutzfragen ist Tom Falkenberg (info@nachtakt.de).

§ 5 Unterauftragsverarbeitung

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses genehmigten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor der beabsichtigten Hinzuziehung oder dem Wechsel eines Unterauftragsverarbeiters per E-Mail.

(3) Der Verantwortliche kann der Hinzuziehung eines neuen Unterauftragsverarbeiters innerhalb von 30 Tagen nach Information aus berechtigten datenschutzrechtlichen Gründen widersprechen. Kann der Auftragsverarbeiter dem Widerspruch nicht durch zumutbare Maßnahmen abhelfen, hat der Verantwortliche ein Sonderkündigungsrecht.

(4) Der Auftragsverarbeiter legt den Unterauftragsverarbeitern vertraglich dieselben Datenschutzpflichten auf, wie sie in diesem AVV festgelegt sind. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten durch die Unterauftragsverarbeiter.

§ 6 Kontrollrechte des Verantwortlichen

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen.

(2) Die Kontrolle erfolgt in folgender Abstufung:

  • Stufe 1 — Selbstauskunft: Auf Anfrage stellt der Auftragsverarbeiter aktuelle Dokumentationen zu den technisch-organisatorischen Maßnahmen sowie Zertifizierungen und Audit-Berichte der Unterauftragsverarbeiter zur Verfügung.
  • Stufe 2 — Fernprüfung: Der Auftragsverarbeiter beantwortet Fragebögen und stellt relevante Nachweise elektronisch zur Verfügung.
  • Stufe 3 — Vor-Ort-Inspektion: Falls Stufe 1 und 2 nicht ausreichen, hat der Verantwortliche das Recht auf eine Vor-Ort-Inspektion oder die Beauftragung eines unabhängigen Prüfers. Inspektionen werden mit einer Voranmeldefrist von 14 Tagen zu üblichen Geschäftszeiten durchgeführt.

(3) Der Verantwortliche kann Kontrollen einmal jährlich durchführen. Bei begründetem Verdacht auf einen Datenschutzverstoß sind zusätzliche Kontrollen jederzeit möglich.

(4) Die Kosten der Kontrolle trägt grundsätzlich der Verantwortliche, es sei denn, die Kontrolle ergibt einen Verstoß des Auftragsverarbeiters gegen diesen AVV.

§ 7 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten. Die Meldung erfolgt per E-Mail an die vom Verantwortlichen hinterlegte E-Mail-Adresse.

(2) Die Meldung enthält mindestens folgende Informationen:

  • eine Beschreibung der Art der Datenschutzverletzung, soweit möglich mit Angabe der betroffenen Datenkategorien und der ungefähren Anzahl betroffener Personen und Datensätze,
  • den Namen und die Kontaktdaten des Ansprechpartners,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung,
  • eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(3) Der Auftragsverarbeiter dokumentiert alle Datenschutzverletzungen einschließlich der zugehörigen Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen.

§ 8 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern der Verantwortliche nicht innerhalb von 30 Tagen nach Vertragsende die Rückgabe der Daten verlangt.

(2) Die Rückgabe erfolgt in einem gängigen, maschinenlesbaren Format (CSV-Export über die Software).

(3) Die Löschung umfasst auch Daten in Backup-Systemen. Für Daten in automatisierten Backup-Rotationen gilt eine Löschfrist von maximal 90 Tagen nach Vertragsende.

(4) Der Auftragsverarbeiter bestätigt dem Verantwortlichen die vollständige Löschung der Daten auf Anfrage in Textform.

(5) Gesetzliche Aufbewahrungspflichten (insbesondere steuer- und handelsrechtliche) bleiben unberührt. Daten, die aufgrund gesetzlicher Pflichten aufbewahrt werden, werden für die weitere Verarbeitung gesperrt und nach Ablauf der Aufbewahrungsfrist gelöscht.

§ 9 Drittlandtransfer

(1) Die Datenbank (Supabase) befindet sich in der EU-Region (Frankfurt am Main, Deutschland). Die personenbezogenen Daten der Endkunden werden somit primär innerhalb der EU gespeichert.

(2) Soweit Unterauftragsverarbeiter mit Sitz in den USA eingesetzt werden, erfolgt der Datentransfer auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) vom 10. Juli 2023, sofern der jeweilige Unterauftragsverarbeiter unter dem DPF zertifiziert ist.

(3) Für Unterauftragsverarbeiter, die nicht unter dem DPF zertifiziert sind, werden Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als Transfermechanismus eingesetzt.

(4) Sollte der Angemessenheitsbeschluss zum DPF für ungültig erklärt werden, wird der Auftragsverarbeiter unverzüglich auf alternative geeignete Garantien gemäß Art. 46 DSGVO (insbesondere SCCs) umstellen und den Verantwortlichen hierüber informieren.

§ 10 Haftung

(1) Die Haftung der Parteien richtet sich nach den Regelungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den Haftungsregelungen der AGB.

(2) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die durch eine nicht den Bestimmungen der DSGVO oder den rechtmäßigen Weisungen des Verantwortlichen entsprechende Verarbeitung verursacht werden.

§ 11 Schlussbestimmungen

(1) Im Falle von Widersprüchen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB). Bei wesentlichen Änderungen des AVV wird der Verantwortliche per E-Mail informiert.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.

Anlage 1: Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen:

1. Zutrittskontrolle

Die Datenverarbeitung erfolgt ausschließlich über Cloud-Dienste. Es werden keine eigenen Server betrieben. Die physische Sicherheit der Rechenzentren obliegt den jeweiligen Unterauftragsverarbeitern (Supabase/AWS, Vercel). Der Zugang zu den Arbeitsgeräten des Auftragsverarbeiters ist durch Passwort und Bildschirmsperre geschützt.

2. Zugangskontrolle

  • Starke, einzigartige Passwörter für alle eingesetzten Dienste
  • Zwei-Faktor-Authentifizierung (2FA) für Supabase, Vercel, Resend, Stripe und GitHub
  • Automatische Bildschirmsperre bei Inaktivität
  • Keine Weitergabe von Zugangsdaten an Dritte

3. Zugriffskontrolle

  • Need-to-know-Prinzip (als Einzelunternehmer hat ausschließlich der Inhaber Zugriff auf Verwaltungssysteme)
  • Row Level Security (RLS) in der Datenbank — strikte Mandantentrennung: jeder Kunde sieht nur seine eigenen Daten
  • API-Schlüssel mit minimalen Berechtigungen (Anon-Key für Clientzugriff, Service-Role-Key nur serverseitig)
  • Keine Speicherung von Zugangsdaten im Quellcode (ausschließlich Umgebungsvariablen)

4. Weitergabekontrolle

  • Alle Datenübertragungen erfolgen verschlüsselt über TLS/HTTPS
  • Verschlüsselte API-Kommunikation zwischen allen eingesetzten Diensten
  • E-Mail-Versand über authentifizierte Verbindungen (Resend API mit TLS)
  • Keine unverschlüsselte Übertragung personenbezogener Daten

5. Eingabekontrolle

  • Protokollierung von Benutzeraktionen im Aktivitätslog (Kunden anlegen, E-Mails planen, Feedback erhalten)
  • Zeitstempel bei allen Datenänderungen

6. Auftragskontrolle

  • Datenschutzvereinbarungen (DPAs) mit allen Unterauftragsverarbeitern abgeschlossen
  • Verarbeitung ausschließlich nach dokumentierter Weisung
  • Regelmäßige Überprüfung der Unterauftragsverarbeiter auf Einhaltung der Datenschutzanforderungen

7. Verfügbarkeitskontrolle

  • Automatische Datenbank-Backups durch Supabase
  • Redundante Cloud-Infrastruktur der eingesetzten Dienstleister
  • Versionskontrolle des Quellcodes über GitHub (private Repositories)

8. Trennungsgebot

  • Strikte Mandantentrennung durch Row Level Security (RLS) in Supabase
  • Jeder Handwerksbetrieb kann ausschließlich auf seine eigenen Kundendaten zugreifen
  • Getrennte Authentifizierung pro Nutzerkonto
  • Logische Trennung aller kundenbezogenen Daten auf Datenbankebene (business_id)

Anlage 2: Genehmigte Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden zum Zeitpunkt des Vertragsschlusses eingesetzt:

DienstZweckSitzDatenspeicherortTransfermechanismus
Supabase Inc.Datenbank, AuthentifizierungUSAEU (Frankfurt)SCCs + DPA
Resend Inc.E-Mail-VersandUSAUSADPF-zertifiziert
Vercel Inc.Hosting, DeploymentUSAUSA/EUDPF-zertifiziert
Stripe Inc.Zahlungsabwicklung (nur Daten des Verantwortlichen, keine Endkundendaten)USAUSA/EUDPF-zertifiziert

Die jeweils aktuellen Datenschutzvereinbarungen (DPAs) der Unterauftragsverarbeiter sind über deren Websites abrufbar: supabase.com/legal/dpa, resend.com/legal/dpa, vercel.com/legal/dpa, stripe.com/legal/dpa.