Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Parteien

Signature Business Solutions
AI Business Profile (kibp.de)
Halil Aksit
Pickertstraße 45
24143 Kiel - Deutschland
E-Mail: info@signature-business-solutions.com

– nachfolgend „Auftragsverarbeiter“ genannt –

und

[Name des Kunden / Unternehmens / Praxis]
[Adresse]
[E-Mail]
[System-Registrierungsdaten / Kundennummer]

– nachfolgend „Verantwortlicher“ genannt –

§1 Gegenstand der Verarbeitung

Der Auftragsverarbeiter stellt dem Verantwortlichen die Plattform „AI Business Profile (kibp.de)“ zur Verfügung. Dies umfasst insbesondere:

• Digitale Unternehmensprofile / digitale Visitenkarten
• Kontakt-, Lead- und Nachrichtensystem
• Einwilligungsmanagement und -protokollierung
• KI-Visitenkartenscanner (optional)
• CRM-Anbindung/Export (optional)
• Technischen Betrieb der Plattform inkl. Hosting und Automatisierungen
• Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen gemäß Art. 28 DSGVO.

§2 Art und Zweck der Verarbeitung

Art der Verarbeitung:

• Anzeige öffentlich bereitgestellter Kontakt- und Unternehmensinformationen des Verantwortlichen
• Verarbeitung von Formular-, Lead- und Nachrichtenanfragen von Besuchern
• Protokollierung von Einwilligungen (z. B. Formularnutzung, externe Videoaktivierung, Newsletter-Weiterleitung an den Profilinhaber)
• Technische Aufbereitung von Profilinhalten als strukturierte Daten (z. B. JSON-LD) zur KI- und Suchmaschinen-Sichtbarkeit
• Übertragung an CRM-/Drittsysteme nur falls vom Verantwortlichen aktiviert/gebucht
• Sicherer Betrieb der Plattform inkl. Hosting auf EU-Servern und Workflow-Automatisierungen
• Zweck der Verarbeitung: Bereitstellung, Betrieb und Absicherung der Plattformfunktionen für den Verantwortlichen.

§3 Kategorien betroffener Daten und Personen

Verarbeitete Datenarten:

• Name, E-Mail, Telefonnummer, ggf. Adresse sowie vom Verantwortlichen veröffentlichte Profil-/Unternehmensdaten
• Kommunikationsinhalte aus Formularen/Nachrichten
• Nutzungs- und Verbindungsdaten (IP-Adresse gekürzt/pseudonymisiert, Zeitstempel, Formularpfade, User-Agent)
• Optional: CRM-Felder/Exports, sofern integriert

Betroffene Personengruppen:

• Besucher der digitalen Profile/Visitenkarten
• Empfänger und Absender von Nachrichten/Leads
• Endnutzer von Formular- und Kontaktfunktionen
• Mitarbeiter/Kontaktpersonen des Verantwortlichen, sofern diese im Profil geführt werden

§4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen
• Umsetzung und Aufrechterhaltung angemessener technisch-organisatorischer Maßnahmen (TOM) nach Art. 32 DSGVO
• Verpflichtung aller zugriffsberechtigten Personen auf Vertraulichkeit
• Unterstützung des Verantwortlichen bei Betroffenenrechten, Datenschutz-Folgenabschätzung (falls erforderlich) und Datenschutzverletzungen
• Protokollierung der Einwilligungen (Speicherdauer max. 6 Monate)
• Löschung/Rückgabe der Daten gemäß §6
• Keine Weitergabe an Dritte ohne Genehmigung des Verantwortlichen, außer an Unterauftragnehmer nach §8
• Keine eigenständige Nutzung der Daten zu eigenen Zwecken innerhalb der Auftragsverarbeitung

§5 Technisch-organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft mindestens folgende Maßnahmen:

• Hosting bei Hetzner Online GmbH (Serverstandort Deutschland/EU)
• Mandantengetrennte Datenhaltung und Zugriffskontrolle
• TLS-Verschlüsselung aller Verbindungen
• Zugriffsschutz auf Server- und Anwendungsebene (Least-Privilege/RBAC; Admin-Zugänge mit 2FA)
• Logging und Monitoring sicherheitsrelevanter Zugriffe
• Regelmäßige Sicherheits-Updates/Patch-Management
• Verschlüsselte Backups, getrennte Backup-Ziele
• Automatische Löschung: Server-Logs nach max. 14 Tagen; Einwilligungs-Logs nach max. 6 Monaten; Profile/Leads gemäß Weisung bzw. spätestens 30 Tage nach Vertragsende
• Hinweis: Es werden keine externen Google Fonts eingebunden; Schriftarten werden lokal bereitgestellt.

§6 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer der aktiven Vertragsbeziehung.

Nach Vertragsende werden alle personenbezogenen Daten spätestens 30 Tage nach Kündigung gelöscht oder – auf Weisung – an den Verantwortlichen herausgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

§7 Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist berechtigt und verpflichtet:

• Weisungen jederzeit zu erteilen, zu ändern oder zu widerrufen
• Rechtmäßigkeit der Datenerhebung und der veröffentlichten Inhalte sicherzustellen
• Mitwirkung bei Betroffenenanfragen und Behördenprüfungen
• Informationspflicht gegenüber dem Auftragsverarbeiter bei erkennbaren Datenschutzrisiken
• Optionale Audits nach vorheriger Abstimmung durchzuführen

§8 Unterauftragsverarbeitung

Der Verantwortliche genehmigt folgende Unterauftragnehmer:

• Hetzner Online GmbH – Leistung: Hosting / Infrastruktur – Standort: Deutschland / EU
• Microsoft Ireland Operations Ltd. / Azure OpenAI Service – Leistung: KI-/GPT-Funktionen innerhalb der Plattform (nur falls genutzt) – Standort: EU-Azure-Region – Hinweis: Drittland-Zugriffsrisiko aufgrund Konzernstruktur nicht vollständig ausschließbar; Absicherung über AV-Vertrag/DPA, SCC und technische Schutzmaßnahmen.
• Weitere Unterauftragnehmer (z. B. E-Mail- oder CRM-Dienste) werden vorab mitgeteilt. Der Verantwortliche kann aus wichtigem Grund widersprechen.
• Google Analytics (GA4) wird durch den Auftragsverarbeiter für eigene Zwecke als Verantwortlicher betrieben (Reichweitenmessung der Plattform) und ist nicht Bestandteil der Auftragsverarbeitung nach diesem Vertrag.

§9 Schlussbestimmungen

• Änderungen und Ergänzungen bedürfen der Textform.
• Sollte eine Klausel unwirksam sein, bleibt der Vertrag im Übrigen gültig.
• Es gilt deutsches Recht. Gerichtsstand ist Kiel, soweit zulässig.