Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Stand: Juni 2026 · Version 0.9
Vorläufiger Entwurf — wird vor produktivem Einsatz anwaltlich geprüft.
Parteien
Verantwortlicher: Der Kunde (wie im Hauptvertrag bezeichnet)
Auftragsverarbeiter: Menasse Gebregzi, eyedia (in Gründung), Deutz-Mülheimer-Str. 119, 51063 Köln
Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten aus der Nutzung des Dienstes „Atrium CRM" und ist Bestandteil des Hauptvertrages (AGB).
§ 1 Gegenstand und Dauer
(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
(2) Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrages.
§ 2 Art und Zweck der Verarbeitung
Art, Umfang und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen sind in Anlage 1 festgelegt.
§ 3 Weisungsrecht
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung gegen Datenschutzrecht verstößt.
§ 4 Pflichten des Auftragsverarbeiters
- Daten nur im Rahmen der Weisungen verarbeiten
- Befugte Personen zur Vertraulichkeit verpflichten
- Geeignete technische und organisatorische Maßnahmen (TOM) ergreifen
- Bei Betroffenenrechten (Art. 12–23 DSGVO) unterstützen
- Bei Meldepflichten und Datenschutz-Folgenabschätzungen unterstützen
- Nach Vertragsende Daten löschen oder zurückgeben
§ 5 Technische und organisatorische Maßnahmen
(1) Der Auftragsverarbeiter gewährleistet ein dem Risiko angemessenes Schutzniveau (Art. 32 DSGVO).
(2) Maßnahmen können weiterentwickelt werden, dürfen das Schutzniveau jedoch nicht unterschreiten.
§ 6 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der in Anlage 3 genannten Unterauftragsverarbeiter.
(2) Änderungen werden rechtzeitig in Textform mitgeteilt. Widerspruch innerhalb von 14 Tagen möglich.
(3) Unterauftragsverarbeiter werden auf gleichwertiges Datenschutzniveau verpflichtet.
§ 7 Betroffenenrechte
Anfragen betroffener Personen werden unverzüglich an den Verantwortlichen weitergeleitet.
§ 8 Meldepflichten
Datenschutzverletzungen werden unverzüglich nach Bekanntwerden gemeldet (Art. 33, 34 DSGVO).
§ 9 Nachweis- und Kontrollrechte
(1) Der Auftragsverarbeiter stellt die erforderlichen Informationen zum Nachweis zur Verfügung.
(2) Der Verantwortliche ist berechtigt, Kontrollen mit angemessener Vorankündigung durchzuführen.
§ 10 Löschung und Rückgabe
Nach Vertragsende: Exportmöglichkeit für 30 Tage, danach Löschung, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
§ 11 KI-Verarbeitung
(1) Personenbezogene Daten werden nicht zum Training von KI-Modellen verwendet.
(2) KI-Unterauftragsverarbeiter sind in Anlage 3 ausgewiesen.
§ 12 Schlussbestimmungen
(1) Bei Widerspruch zwischen Hauptvertrag und AVV gehen datenschutzrechtlich die Regelungen dieses AVV vor.
(2) Es gilt deutsches Recht.
Anlage 1 — Details der Verarbeitung
| Art der Verarbeitung | Erheben, Speichern, Organisieren, Auslesen, Verwenden, Löschen im Rahmen der CRM-Nutzung |
| Zweck | Verwaltung von Interessenten, Objekten, Besichtigungen, Kommunikation, Pipeline |
| Datenkategorien | Stammdaten (Name, Anschrift, Kontaktdaten), Kommunikationsdaten, objekt-/transaktionsbezogene Daten |
| Betroffene Personen | Interessenten, Mietinteressenten, Käufer, Eigentümer, Ansprechpartner |
| Besondere Datenkategorien | Grundsätzlich keine (Art. 9 DSGVO) |
| Dauer | Laufzeit des Hauptvertrages zzgl. 30 Tage Export-/Löschfrist |
Anlage 2 — Technische und organisatorische Maßnahmen (TOM)
- Zutrittskontrolle: Rechenzentrum bei Railway (EU-Infrastruktur)
- Zugangskontrolle: Individuelle Benutzerkonten, Passwort-Hashing (bcrypt), JWT-Authentifizierung
- Zugriffskontrolle: Rollenbasierte Rechte (Admin, Manager, Mitglied), Multi-Tenant Row-Level Security
- Weitergabekontrolle: TLS-Verschlüsselung aller Übertragungen
- Eingabekontrolle: Aktivitäts-Logging, Sentry Error-Monitoring
- Verfügbarkeitskontrolle: Regelmäßige Backups (PostgreSQL), Railway Auto-Restart
- Trennungskontrolle: Logische Trennung durch Tenant-ID auf Datenbankebene
- Überprüfung: Regelmäßige Evaluierung der Wirksamkeit
Anlage 3 — Unterauftragsverarbeiter
| Dienstleister | Zweck | Standort | Garantien |
|---|---|---|---|
| Railway | Hosting/Infrastruktur | USA (EU-SCC) | Standardvertragsklauseln |
| Stripe | Zahlungsabwicklung | USA (EU-SCC) | Standardvertragsklauseln |
| Resend | Transaktions-E-Mails | USA (EU-SCC) | Standardvertragsklauseln |
| Anthropic | KI-Funktionen | USA (EU-SCC) | SCC, kein Training |
| Sentry | Error-Monitoring | EU | AVV |
| PostHog | Produktanalyse | EU | AVV |