Auftragsverarbeitungsvertrag (AVV) zwischen Auftraggeber und Automated Commercial Technologies (AutoComm) Inhaber: Matthias Hoppe Wilhelmshavener Straße 41 10551 Berlin – nachfolgend „Auftragsverarbeiter“ genannt – § 1 Gegenstand und Dauer der Verarbeitung (1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers gemäß Art. 28 DSGVO. (2) Gegenstand der Verarbeitung ist die Bereitstellung von automatisierten Software-, API-, Cloud- und KI-gestützten Prozessen, insbesondere für Workflow-Automatisierung, Datenmanagement, CRM-Systeme, Analysen und Kommunikationsprozesse. (3) Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrags zwischen den Parteien. Nach Vertragsende werden die Daten gelöscht oder an den Auftraggeber zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. § 2 Art und Zweck der Verarbeitung (1) Die Verarbeitung umfasst insbesondere Erhebung, Speicherung, Organisation, Anpassung, Übermittlung, Auswertung, Protokollierung und Löschung personenbezogener Daten. (2) Zweck ist die technische und organisatorische Durchführung der beauftragten Dienstleistungen im Bereich Automatisierung, KI-Integration, Datenverarbeitung, Cloud-Hosting und Workflow-Management. § 3 Art der Daten und Kategorien betroffener Personen (1) Verarbeitet werden insbesondere: Bestands- und Kontaktdaten (z. B. Name, Anschrift, E-Mail, Telefonnummer), Kommunikations- und Vertragsdaten, Nutzungs-, Log- und Metadaten, Inhalte aus Systemintegrationen und automatisierten Schnittstellen. (2) Betroffen sind insbesondere: Kunden, Interessenten, Mitarbeiter und Lieferanten des Auftraggebers, sonstige Personen, deren Daten im Rahmen der Nutzung der automatisierten Systeme verarbeitet werden. § 4 Pflichten des Auftragsverarbeiters (1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. (2) Er gewährleistet die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO und verpflichtet alle Mitarbeitenden entsprechend. (3) Es werden geeignete technische und organisatorische Maßnahmen (TOMs) zur Gewährleistung von Sicherheit und Datenschutz getroffen, insbesondere: Zugriffsbeschränkung, Pseudonymisierung, Verschlüsselung, Backups, Monitoring, Logging, 2-Faktor-Authentifizierung, regelmäßige Sicherheitsprüfungen. (4) Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Wahrnehmung von Betroffenenrechten (Art. 15–22 DSGVO) sowie bei der Meldung von Datenschutzverletzungen (Art. 33 und 34 DSGVO). (5) Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters ist ausgeschlossen. § 5 Unterauftragsverhältnisse (Subprozessoren) (1) Der Auftraggeber erteilt eine generelle Genehmigung zur Einschaltung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 und 4 DSGVO. (2) Der Auftragsverarbeiter setzt für Cloud-, KI- und Automatisierungsleistungen ausschließlich sorgfältig ausgewählte Dienstleister ein, die vertraglich zur Einhaltung der DSGVO verpflichtet sind. (3) Zu den derzeit eingesetzten oder potenziell eingesetzten Unterauftragsverarbeitern gehören insbesondere: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform, Airtable, Noloco, Zapier, n8n, Make (Integromat), Cloudflare, Vercel, Netlify, OpenAI, Anthropic, Mistral AI, Aleph Alpha, Cohere, Stability AI, ElevenLabs, Hugging Face. (4) Eine aktuelle Übersicht wird auf Anfrage oder in der jeweils gültigen Datenschutzerklärung des Auftragsverarbeiters bereitgestellt. (5) Der Auftraggeber wird über wesentliche Änderungen in der Liste der Unterauftragsverarbeiter informiert und kann aus wichtigem Grund widersprechen. § 6 Pflichten des Auftraggebers (1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung im Verhältnis zur betroffenen Person verantwortlich. (2) Der Auftraggeber ist verpflichtet, in seiner eigenen Datenschutzerklärung klar und nachvollziehbar darauf hinzuweisen, dass personenbezogene Daten im Rahmen der beauftragten Leistungen durch Automated Commercial Technologies (AutoComm) sowie durch die dort eingesetzten Cloud-, KI- und Automatisierungsdienstleister (z. B. AWS, Microsoft Azure, Airtable, Zapier, OpenAI, Anthropic, Mistral AI, n8n, u. a.) verarbeitet werden. (3) Der Hinweis hat zu enthalten, dass die Verarbeitung ausschließlich auf Grundlage eines Auftragsverarbeitungsverhältnisses erfolgt, geeignete Schutzmaßnahmen nach Art. 46 DSGVO bestehen (Standardvertragsklauseln, Verschlüsselung etc.), AutoComm keine eigenständige Profilbildung oder Nutzung zu eigenen Zwecken vornimmt. (4) Der Auftraggeber hat AutoComm unverzüglich zu informieren, wenn ihm Datenschutzverletzungen oder unzulässige Verarbeitungen im Verantwortungsbereich bekannt werden. § 7 Technische und organisatorische Maßnahmen (TOMs) Der Auftragsverarbeiter gewährleistet durch geeignete technische und organisatorische Maßnahmen ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DSGVO. Hierzu gehören u. a. Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennkontrolle. Die TOMs können an den technischen Fortschritt angepasst werden, wobei das Schutzniveau nicht unterschritten werden darf. § 8 Kontrolle und Nachweise (1) Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und vertraglichen Pflichten des Auftragsverarbeiters zu überprüfen. (2) Nachweise können in Form von Zertifikaten, Auditberichten oder Sicherheitsnachweisen erbracht werden. (3) Betriebs- und Geschäftsgeheimnisse des Auftragsverarbeiters bleiben geschützt. § 9 Meldung von Datenschutzverletzungen Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden, über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten. Die Meldung enthält mindestens Art der Verletzung, betroffene Datensätze, mögliche Folgen sowie ergriffene oder vorgeschlagene Gegenmaßnahmen. § 10 Löschung und Rückgabe von Daten Nach Abschluss der Verarbeitung oder auf Anweisung des Auftraggebers werden personenbezogene Daten gelöscht oder in einem gängigen Format sicher übermittelt, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Backups werden nach Ablauf technischer Wiederherstellungszeiträume gelöscht. § 11 Haftung und Schadensersatz Die Haftung richtet sich nach den gesetzlichen Vorschriften. Der Auftragsverarbeiter haftet nur für Schäden, die unmittelbar auf Verstöße gegen diesen Vertrag oder die DSGVO zurückzuführen sind und von ihm zu vertreten sind. § 12 Schlussbestimmungen (1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. (2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. (3) Es gilt deutsches Recht. Gerichtsstand ist Berlin.