# Auftragsverarbeitungsvertrag (AVV) – Vorlage (B2B)

Stand: 17.01.2026

> Hinweis: Keine Rechtsberatung. Diese Vorlage ist eine praxisnahe Basis für Art. 28 DSGVO und sollte vor Nutzung geprüft/angepasst werden (insb. TOMs, Unterauftragsverarbeiter, Löschkonzept).

## 1. Vertragspartner
**Auftraggeber (Kunde/Agentur)**  
Firma/Name: _______________________________________________  
Adresse: _______________________________________________  
Vertreten durch: _______________________________________________  
E‑Mail: _______________________________________________

**Auftragnehmer (Anbieter)**  
Handelsvertretung Niclas Hoffmann (Einzelunternehmen)  
Wildener Straße 66, 57290 Neunkirchen, Deutschland  
E‑Mail: info@hvnh-ai.com

## 2. Gegenstand und Dauer der Verarbeitung
1. Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der SaaS‑Software („Marketing Dashboard“).
2. Dauer: entspricht der Laufzeit des Hauptvertrags (AGB/Bestellformular) zzgl. Löschfristen gemäß Ziff. 10.

## 3. Art und Zweck der Verarbeitung
Der Auftragnehmer verarbeitet Daten ausschließlich zur:
- Bereitstellung der Software (Login, Nutzerverwaltung, Mandantenverwaltung),
- Anbindung und Synchronisierung von Datenquellen (z.B. Google/Meta/LinkedIn/SISTRIX),
- Erstellung und Speicherung von Reports (PDF/PPTX),
- Fehleranalyse/Support sowie Sicherstellung der IT‑Sicherheit (Logging, Monitoring).

## 4. Kategorien betroffener Personen
Je nach Nutzung insbesondere:
- Mitarbeiter/Benutzer des Auftraggebers (Agentur),
- Mitarbeiter/Benutzer der Endkunden des Auftraggebers,
- Ansprechpartner/Kontakte, die in Accounts/Tools der Drittanbieter erscheinen können.

## 5. Arten personenbezogener Daten
Je nach Nutzung insbesondere:
- Account-/Login-Daten (z.B. E‑Mail, Login‑Key, Gerätekennung/Fingerprint),
- technische Nutzungsdaten (IP‑Adresse, User‑Agent, Zeitstempel, Logdaten),
- Reporting-/Marketingdaten, soweit personenbezogene Bezüge enthalten sind (z.B. Nutzer-/Kampagnen‑Metadaten aus Drittanbieter‑Systemen),
- Kommunikationsdaten im Support (Ticket‑Inhalte).

Soweit besondere Kategorien nach Art. 9 DSGVO betroffen sein könnten, ist dies vom Auftraggeber zu vermeiden und nicht Vertragsgegenstand, außer ausdrücklich schriftlich vereinbart.

## 6. Weisungsrecht des Auftraggebers
1. Der Auftragnehmer verarbeitet Daten nur auf dokumentierte Weisung des Auftraggebers, soweit nicht eine gesetzliche Pflicht zur Verarbeitung besteht.
2. Weisungen erfolgen in Textform (z.B. E‑Mail). Der Auftragnehmer darf Weisungen ablehnen, die offensichtlich rechtswidrig sind.

## 7. Pflichten des Auftragnehmers
Der Auftragnehmer:
- verarbeitet Daten vertraulich und verpflichtet Personal auf Vertraulichkeit,
- trifft geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO (Anhang 1),
- unterstützt den Auftraggeber nach Maßgabe von Art. 28 Abs. 3 DSGVO, insbesondere bei Betroffenenrechten und Meldungen (Art. 33/34), soweit möglich und zumutbar,
- informiert den Auftraggeber, wenn eine Weisung gegen Datenschutzrecht verstößt (nach Kenntnis).

Support-Zugriffe: Sofern zur Fehleranalyse/Support erforderlich, darf der Auftragnehmer auf Daten des Auftraggebers/Endkunden zugreifen. Der Zugriff erfolgt nur **anlassbezogen** (Supportfall), auf Weisung/Anfrage des Auftraggebers und nach dem „Need-to-know“-Prinzip.

## 8. Pflichten des Auftraggebers
Der Auftraggeber:
- ist Verantwortlicher i.S.d. DSGVO,
- stellt sicher, dass er zur Verarbeitung berechtigt ist und Endkunden/Betroffene informiert hat,
- ist für die Rechtmäßigkeit der Datenübermittlung an den Auftragnehmer verantwortlich,
- führt ein Verzeichnis von Verarbeitungstätigkeiten, sofern erforderlich.

Betroffenenanfragen (Auskunft/Löschung etc.): Der Auftraggeber koordiniert Anfragen seiner Endkunden/Betroffenen über den Auftragnehmer (Kontakt: info@hvnh-ai.com). Der Auftragnehmer unterstützt im Rahmen der technischen Möglichkeiten und nach Maßgabe von Art. 28 Abs. 3 DSGVO.

## 9. Unterauftragsverarbeiter
1. Der Auftragnehmer setzt für den Betrieb der Software folgende Unterauftragsverarbeiter ein:
   - **netcup GmbH** (Hosting/Serverbetrieb). Speicher-/Serverstandort: Deutschland (gemäß gebuchtem Server/Vertragsdaten; genaue Region/Standort nach netcup-Angaben).
   - **Google** (Gemini API / Google AI) - nur für KI-Auswertung/Generierung, sofern der Auftraggeber diese Funktion nutzt.
   - **OpenAI** - nur für KI-Auswertung/Generierung, sofern der Auftraggeber diese Funktion nutzt.
2. Der Auftragnehmer darf weitere Unterauftragsverarbeiter einsetzen (z.B. Monitoring, E-Mail), soweit dies für den Betrieb erforderlich ist. Eine aktuelle Liste kann dem Auftraggeber auf Anfrage bereitgestellt werden; Änderungen werden dem Auftraggeber in Textform mitgeteilt. Sofern der Auftraggeber nicht innerhalb von 14 Tagen nach Mitteilung in Textform widerspricht, gilt die Zustimmung als erteilt. Im Falle eines Widerspruchs werden die Parteien eine zumutbare Alternative prüfen; ist dies nicht möglich, kann der Auftraggeber den Hauptvertrag außerordentlich kündigen.
3. Der Auftragnehmer stellt sicher, dass mit Unterauftragsverarbeitern geeignete Verträge nach Art. 28 DSGVO geschlossen werden.
4. Drittlandtransfers: Soweit Unterauftragsverarbeiter Daten außerhalb des EWR verarbeiten, erfolgt dies nur auf Grundlage geeigneter Garantien (z.B. EU-Standardvertragsklauseln) gemäß den jeweiligen Anbieterbedingungen/DPAs.
5. Hinweis zu KI-Anbietern: Der Auftraggeber weist Endkunden/Betroffene auf den Einsatz von KI hin und stellt sicher, dass übermittelte Inhalte keine unnötigen personenbezogenen Daten enthalten. Der Auftragnehmer empfiehlt, personenbezogene Daten in Prompts nach Möglichkeit zu vermeiden (Datenminimierung).

## 10. Löschung und Rückgabe von Daten
1. Nach Ende des Hauptvertrags löscht der Auftragnehmer personenbezogene Daten innerhalb von **7 Tagen**, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
2. Report-Dateien können während eines aktiven Vertragsverhältnisses bis zu **12 Monate** gespeichert werden; nach Vertragsende gilt Ziff. 10.1.
3. Ein Export von Daten/Reports kann auf Anfrage erfolgen und ist ggf. gesondert zu vergüten, sofern nicht im Paket enthalten.

## 11. Technische und organisatorische Maßnahmen (TOMs)
Die TOMs ergeben sich aus **Anhang 1**. Der Auftragnehmer darf TOMs weiterentwickeln, sofern das Sicherheitsniveau nicht unterschritten wird.

## 12. Kontrollrechte / Nachweise
1. Der Auftraggeber hat das Recht auf angemessene Nachweise (z.B. Sicherheitskonzept, technische Beschreibungen).
2. Vor‑Ort‑Audits erfolgen nur nach vorheriger Abstimmung, während üblicher Geschäftszeiten, unter Wahrung der Vertraulichkeit und gegen Kostenerstattung, soweit gesetzlich zulässig und nicht unverhältnismäßig.

## 13. Meldung von Datenschutzverletzungen
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden, die Daten des Auftraggebers betreffen.

## 14. Haftung (AVV)
Für Haftung zwischen den Parteien gelten die Haftungsregelungen des Hauptvertrags (AGB/Bestellformular), soweit gesetzlich zulässig.

## 15. Schlussbestimmungen
1. Im Zweifel geht diese AVV den AGB vor, soweit datenschutzrechtliche Pflichten betroffen sind.
2. Änderungen bedürfen der Textform.

---

## Anhang 1: TOMs (Kurzliste – bitte finalisieren)
**Zugriffskontrolle**
- Authentifizierung/Session‑Schutz, rollenbasierte Berechtigungen (Owner/Agency/Customer)
- Mandanten‑/Tenant‑Scope‑Validierung in APIs

**Übertragungskontrolle**
- TLS/HTTPS über Reverse Proxy
- sichere Webhook‑Authentifizierung (Secret/HMAC)

**Speicherkontrolle**
- Verschlüsselung sensibler Tokens/Secrets (z.B. OAuth‑Tokens verschlüsselt)
- Trennung von Tenant‑Daten (logisch per customerId/tenant)

**Eingabekontrolle**
- Logging von Admin‑Aktionen / Sync‑Logs (je nach Modul)

**Verfügbarkeitskontrolle**
- Backups, Monitoring/Healthchecks, Wiederanlaufkonzepte

**Trennungsgebot**
- Mandantentrennung durch Zugriffskontrollen, Scope‑Checks und getrennte Report‑Pfade

---

## Unterschriften
Ort/Datum: ______________________

**Auftraggeber (Kunde/Agentur)**  
Name/Unterschrift: ______________________

**Auftragnehmer (Anbieter)**  
Name/Unterschrift: ______________________