Dieser Auftragsverarbeitungsvertrag (AVV) ist integraler Bestandteil der AGB und regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden gemäß Art. 28 DSGVO.
Der AVV wird automatisch mit Vertragsschluss wirksam.
Zwischen
dem Auftraggeber (Verantwortlicher im Sinne der DSGVO):
[Name des Kunden]
[Adresse des Kunden]
(nachfolgend "Auftraggeber" oder "Verantwortlicher")
und
dem Auftragnehmer (Auftragsverarbeiter im Sinne der DSGVO):
Ingo Weltz
Zoom Internetagentur
Frankfurter Str. 55
63303 Dreieich
E-Mail: info@zoom-internetagentur.com
Telefon: 01626520017
(nachfolgend "Auftragnehmer" oder "Auftragsverarbeiter")
wird folgender Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen:
Dieser AVV regelt die Rechte und Pflichten der Vertragsparteien bei der Verarbeitung personenbezogener Daten im Rahmen der in den AGB beschriebenen Dienstleistungen.
(1) Gegenstand
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen folgender Dienstleistungen:
(2) Dauer
Dieser AVV tritt mit Vertragsschluss in Kraft und gilt für die Dauer des Hauptvertrages (AGB). Er endet automatisch mit Beendigung des Hauptvertrages.
(3) Datenhoheit
Der Auftraggeber bleibt jederzeit Verantwortlicher im Sinne der DSGVO. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers.
(1) Art der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten in folgender Weise:
(2) Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zu folgenden Zwecken:
(3) Weisungsgebundenheit
Der Auftragnehmer verarbeitet personenbezogene Daten nur im Rahmen der dokumentierten Weisungen des Auftraggebers. Dokumentierte Weisungen sind:
Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn eine Weisung seiner Ansicht nach gegen datenschutzrechtliche Vorschriften verstößt.
(1) Kategorien personenbezogener Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
(2) Kategorien betroffener Personen
Betroffen sind:
(3) Besondere Kategorien personenbezogener Daten
Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet (z. B. Gesundheitsdaten, ethnische Herkunft, religiöse Überzeugungen).
Sollten im Einzelfall doch solche Daten anfallen (z. B. Gesundheitsdaten bei Sanitär-Anfragen), ist der Auftraggeber verpflichtet, uns unverzüglich zu informieren. In diesem Fall werden zusätzliche Schutzmaßnahmen getroffen.
(1) Weisungsgebundenheit
Der Auftragnehmer verarbeitet personenbezogene Daten nur im Rahmen der dokumentierten Weisungen des Auftraggebers.
(2) Vertraulichkeit
Der Auftragnehmer verpflichtet sich, alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO). Die Geheimhaltungspflicht besteht auch nach Beendigung des Vertrages fort.
(3) Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 7).
(4) Unterstützung des Auftraggebers
Der Auftragnehmer unterstützt den Auftraggeber bei:
(5) Löschung und Rückgabe
Nach Beendigung der Leistungserbringung löscht oder gibt der Auftragnehmer alle personenbezogenen Daten zurück (siehe § 9).
(6) Nachweis der Compliance
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.
(7) Meldung von Datenschutzverletzungen
Der Auftragnehmer meldet Datenschutzverletzungen (Data Breaches) unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme an den Auftraggeber.
(1) Verantwortlichkeit
Der Auftraggeber ist und bleibt Verantwortlicher im Sinne der DSGVO und trägt die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung.
(2) Weisungen
Der Auftraggeber erteilt dokumentierte Weisungen zur Verarbeitung personenbezogener Daten. Weisungen müssen schriftlich (E-Mail ausreichend) erteilt werden.
(3) Datenschutzerklärung
Der Auftraggeber verpflichtet sich, auf seiner Website eine DSGVO-konforme Datenschutzerklärung zu implementieren, die über die Verarbeitung durch den Auftragnehmer informiert.
(4) Einwilligung der Betroffenen
Der Auftraggeber stellt sicher, dass alle erforderlichen Einwilligungen der betroffenen Personen vorliegen (z. B. für Gesprächsaufzeichnungen).
(5) Prüfungsrechte
Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzbestimmungen durch den Auftragnehmer zu überprüfen. Dies kann durch:
erfolgen. Prüfungen müssen mindestens 14 Tage im Voraus angekündigt werden und dürfen den Betriebsablauf nicht unverhältnismäßig stören.
(1) Zustimmung zu Unterauftragnehmern
Der Auftraggeber erteilt hiermit seine generelle Zustimmung zur Beauftragung folgender Unterauftragnehmer:
| Unterauftragnehmer | Leistung | Standort | Rechtsgrundlage |
| Twilio Inc. | Telefonie | USA | Standard-Vertragsklauseln (SCCs) |
| ElevenLabs Inc. | Voice Agent (KI) | UK | UK GDPR, Angemessenheitsbeschluss |
| n8n GmbH / Self-Hosted | Workflow-Automatisierung | Deutschland (Frankfurt) | EU/EWR – keine Übermittlung |
| Cal.com Inc. / Self-Hosted | Terminbuchung | USA / Deutschland | SCCs oder Self-Hosted (EU) |
(2) Pflichten bei Unterauftragnehmern
Der Auftragnehmer verpflichtet sich, mit allen Unterauftragnehmern Verträge abzuschließen, die inhaltlich den Anforderungen von Art. 28 DSGVO entsprechen.
(3) Änderungen bei Unterauftragnehmern
Geplante Änderungen (Hinzuziehung oder Ersetzung von Unterauftragnehmern) werden dem Auftraggeber mindestens 30 Tage im Voraus per E-Mail mitgeteilt. Der Auftraggeber kann innerhalb von 14 Tagen Widerspruch einlegen.
(4) Haftung
Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Datenschutzbestimmungen durch Unterauftragnehmer wie für eigenes Verschulden.
Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:
Anpassung der TOMs:
Die TOMs werden regelmäßig überprüft und bei Bedarf an den Stand der Technik angepasst. Wesentliche Änderungen werden dem Auftraggeber mitgeteilt.
(1) Unterstützung bei Betroffenenanfragen
Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte:
(2) Reaktionszeit
Der Auftragnehmer bearbeitet Anfragen des Auftraggebers zur Umsetzung von Betroffenenrechten innerhalb von 48 Stunden (Werktage) nach Eingang der Anfrage.
(3) Weiterleitung von Anfragen
Gehen beim Auftragnehmer direkt Anfragen betroffener Personen ein, leitet er diese unverzüglich an den Auftraggeber weiter.
(1) Löschung nach Vertragsende
Nach Beendigung der Leistungserbringung löscht der Auftragnehmer alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, es sei denn, eine gesetzliche Aufbewahrungspflicht besteht.
(2) Frist
Die Löschung/Rückgabe erfolgt innerhalb von 30 Tagen nach Vertragsende.
(3) Wahlrecht des Auftraggebers
Der Auftraggeber kann wählen:
(4) Nachweis der Löschung
Der Auftragnehmer bestätigt die vollständige Löschung schriftlich.
(5) Besonderheit: Systeme auf Kundenseite
Da alle Systeme (Voice Agent, n8n, Twilio, Cal.com) auf den eigenen Accounts des Auftraggebers laufen, behält der Auftraggeber nach Vertragsende automatisch alle Daten und Systeme. Der Auftragnehmer löscht lediglich seine eigenen Zugangsrechte.
(1) Haftung
Die Haftungsregelungen der AGB (§ 9) gelten entsprechend.
(2) Datenschutzverletzungen
Bei Datenschutzverletzungen (Data Breaches) haftet der Auftragnehmer gemäß den gesetzlichen Bestimmungen (Art. 82 DSGVO).
(3) Geheimhaltung
Der Auftragnehmer verpflichtet alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, zur Geheimhaltung gemäß Art. 28 Abs. 3 lit. b DSGVO.
(4) Vertraulichkeitsverpflichtung
Die Vertraulichkeitsverpflichtung gilt auch nach Beendigung des Vertragsverhältnisses fort.
(5) Bußgelder und Schadensersatz
Wird gegen den Auftraggeber ein Bußgeld oder Schadensersatzanspruch geltend gemacht aufgrund einer Datenschutzverletzung durch den Auftragnehmer, haftet der Auftragnehmer für den entstandenen Schaden.
(1) Änderungen
Änderungen dieses AVV bedürfen der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel.
(2) Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Rangfolge
Im Falle von Widersprüchen zwischen diesem AVV und den AGB hat der AVV Vorrang in datenschutzrechtlichen Fragen.
(4) Anwendbares Recht und Gerichtsstand
Es gelten die entsprechenden Regelungen der AGB (§ 10).
Bei Fragen zu diesem AVV oder Datenschutzfragen kontaktieren Sie uns:
Ingo Weltz
Zoom Internetagentur
Frankfurter Str. 55
63303 Dreieich
E-Mail: info@zoom-internetagentur.com
Telefon: 01626520017
Stand: Januar 2024