Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: Juni 2026 · Version 0.9

Vorläufiger Entwurf — wird vor produktivem Einsatz anwaltlich geprüft.

Parteien

Verantwortlicher: Der Kunde (wie im Hauptvertrag bezeichnet)

Auftragsverarbeiter: Menasse Gebregzi, eyedia (in Gründung), Deutz-Mülheimer-Str. 119, 51063 Köln

Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten aus der Nutzung des Dienstes „Atrium CRM" und ist Bestandteil des Hauptvertrages (AGB).

§ 1 Gegenstand und Dauer

(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.

(2) Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung

Art, Umfang und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen sind in Anlage 1 festgelegt.

§ 3 Weisungsrecht

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung gegen Datenschutzrecht verstößt.

§ 4 Pflichten des Auftragsverarbeiters

  • Daten nur im Rahmen der Weisungen verarbeiten
  • Befugte Personen zur Vertraulichkeit verpflichten
  • Geeignete technische und organisatorische Maßnahmen (TOM) ergreifen
  • Bei Betroffenenrechten (Art. 12–23 DSGVO) unterstützen
  • Bei Meldepflichten und Datenschutz-Folgenabschätzungen unterstützen
  • Nach Vertragsende Daten löschen oder zurückgeben

§ 5 Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter gewährleistet ein dem Risiko angemessenes Schutzniveau (Art. 32 DSGVO).

(2) Maßnahmen können weiterentwickelt werden, dürfen das Schutzniveau jedoch nicht unterschreiten.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der in Anlage 3 genannten Unterauftragsverarbeiter.

(2) Änderungen werden rechtzeitig in Textform mitgeteilt. Widerspruch innerhalb von 14 Tagen möglich.

(3) Unterauftragsverarbeiter werden auf gleichwertiges Datenschutzniveau verpflichtet.

§ 7 Betroffenenrechte

Anfragen betroffener Personen werden unverzüglich an den Verantwortlichen weitergeleitet.

§ 8 Meldepflichten

Datenschutzverletzungen werden unverzüglich nach Bekanntwerden gemeldet (Art. 33, 34 DSGVO).

§ 9 Nachweis- und Kontrollrechte

(1) Der Auftragsverarbeiter stellt die erforderlichen Informationen zum Nachweis zur Verfügung.

(2) Der Verantwortliche ist berechtigt, Kontrollen mit angemessener Vorankündigung durchzuführen.

§ 10 Löschung und Rückgabe

Nach Vertragsende: Exportmöglichkeit für 30 Tage, danach Löschung, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 11 KI-Verarbeitung

(1) Personenbezogene Daten werden nicht zum Training von KI-Modellen verwendet.

(2) KI-Unterauftragsverarbeiter sind in Anlage 3 ausgewiesen.

§ 12 Schlussbestimmungen

(1) Bei Widerspruch zwischen Hauptvertrag und AVV gehen datenschutzrechtlich die Regelungen dieses AVV vor.

(2) Es gilt deutsches Recht.

Anlage 1 — Details der Verarbeitung

Art der VerarbeitungErheben, Speichern, Organisieren, Auslesen, Verwenden, Löschen im Rahmen der CRM-Nutzung
ZweckVerwaltung von Interessenten, Objekten, Besichtigungen, Kommunikation, Pipeline
DatenkategorienStammdaten (Name, Anschrift, Kontaktdaten), Kommunikationsdaten, objekt-/transaktionsbezogene Daten
Betroffene PersonenInteressenten, Mietinteressenten, Käufer, Eigentümer, Ansprechpartner
Besondere DatenkategorienGrundsätzlich keine (Art. 9 DSGVO)
DauerLaufzeit des Hauptvertrages zzgl. 30 Tage Export-/Löschfrist

Anlage 2 — Technische und organisatorische Maßnahmen (TOM)

  • Zutrittskontrolle: Rechenzentrum bei Railway (EU-Infrastruktur)
  • Zugangskontrolle: Individuelle Benutzerkonten, Passwort-Hashing (bcrypt), JWT-Authentifizierung
  • Zugriffskontrolle: Rollenbasierte Rechte (Admin, Manager, Mitglied), Multi-Tenant Row-Level Security
  • Weitergabekontrolle: TLS-Verschlüsselung aller Übertragungen
  • Eingabekontrolle: Aktivitäts-Logging, Sentry Error-Monitoring
  • Verfügbarkeitskontrolle: Regelmäßige Backups (PostgreSQL), Railway Auto-Restart
  • Trennungskontrolle: Logische Trennung durch Tenant-ID auf Datenbankebene
  • Überprüfung: Regelmäßige Evaluierung der Wirksamkeit

Anlage 3 — Unterauftragsverarbeiter

DienstleisterZweckStandortGarantien
RailwayHosting/InfrastrukturUSA (EU-SCC)Standardvertragsklauseln
StripeZahlungsabwicklungUSA (EU-SCC)Standardvertragsklauseln
ResendTransaktions-E-MailsUSA (EU-SCC)Standardvertragsklauseln
AnthropicKI-FunktionenUSA (EU-SCC)SCC, kein Training
SentryError-MonitoringEUAVV
PostHogProduktanalyseEUAVV