BewertungsFlow
← Anmelden

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Dies ist die allgemeine Vorlage. Nach der Registrierung finden Sie Ihre personalisierte Version unter Einstellungen → Mein Konto.

§ 1 Vertragsparteien

Auftraggeber (Verantwortlicher)

[Ihr Firmenname]

[Ihre Adresse]

(Personalisierte Version nach Registrierung unter Einstellungen → Mein Konto)

Auftragnehmer (Verarbeiter)

d1ma Webentwicklung

Dietrich Beck

Leuschnerstr. 97, 34134 Kassel

hallo@bewertungsflow.de

§ 2 Gegenstand und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten von dessen Endkunden zum Zweck des Versands von Bewertungsanfragen per E-Mail sowie zur Verarbeitung der daraus resultierenden Kundenfeedbacks.

§ 3 Art der Daten und Kreis der Betroffenen

Betroffene Personen: Endkunden des Auftraggebers

Datenkategorien:

  • Kontaktdaten (Name, E-Mail-Adresse)
  • Bewertungsdaten (Sternebewertung, Freitext-Feedback)
  • Versand-Metadaten (Zeitstempel, E-Mail-Status, Klick-Tracking)
  • Abmeldestatus (Opt-Out)

§ 4 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • Daten ausschließlich im Rahmen der dokumentierten Weisung des Auftraggebers zu verarbeiten
  • Zur Wahrung der Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
  • Alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (Art. 32 DSGVO)
  • Unterauftragsverarbeiter nur unter Einhaltung der Anforderungen des Art. 28 Abs. 2 DSGVO einzusetzen
  • Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen
  • Nach Beendigung des Vertrags alle Daten zu löschen oder zurückzugeben

§ 5 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer hat geeignete TOM nach Art. 32 DSGVO getroffen, insbesondere:

  • Verschlüsselung der Datenübertragung (TLS/HTTPS)
  • Verschlüsselung sensibler Zugangsdaten (AES-256)
  • Zugriffskontrolle über Row-Level Security (RLS) in der Datenbank
  • JWT-basierte Authentifizierung mit kurzen Token-Laufzeiten
  • Audit-Logging für alle datenschutzrelevanten Vorgänge
  • Automatische IP-Anonymisierung nach 90 Tagen
  • Automatische Log-Löschung nach 365 Tagen
  • Hosting ausschließlich bei europäischen Rechenzentren (soweit möglich)

§ 6 Unterauftragsverarbeiter

Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:

AnbieterZweckStandortSchutzmaßnahme
Supabase, Inc.Datenbankhosting, AuthentifizierungEU (Frankfurt)EU-Region, DPA vorhanden
Hetzner Online GmbHServerhosting (Next.js-Anwendung)DE (Nürnberg)Deutsches Unternehmen, DSGVO-konform
Resend, Inc.E-Mail-Versand (optional)USAEU-Standardvertragsklauseln (SCCs)

§ 7 Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Auskunfts-, Berichtigungs-, Lösch- und Widerspruchsrechten betroffener Personen gemäß Art. 15–22 DSGVO. Abmeldewünsche von Endkunden werden automatisch verarbeitet und führen zur sofortigen Unterdrückung weiterer E-Mails (Opt-Out-Mechanismus).

§ 8 Löschung und Rückgabe von Daten

Nach Beendigung des Vertragsverhältnisses werden alle personenbezogenen Daten des Auftraggebers und seiner Endkunden innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Eine Datenrückgabe ist auf Anfrage möglich.

§ 9 Weisungsrecht

Der Auftraggeber ist berechtigt, dem Auftragnehmer jederzeit Weisungen zur Datenverarbeitung zu erteilen. Weisungen sind schriftlich (auch per E-Mail) zu dokumentieren. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 10 Laufzeit

Dieser Vertrag gilt für die Dauer der Nutzung der Plattform Bewertungsflow.de und endet automatisch mit dem Ende des Hauptvertrags (AGB). Im Übrigen gelten die gesetzlichen Bestimmungen.

Version 1.0 – Stand März 2026 · Bewertungsflow.de