← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Zuletzt aktualisiert: 5. Juli 2026

Zwischen dem Kunden (nachfolgend „Verantwortlicher") und Hölzel, Iserhagen & Kirscht GbR (nachfolgend „Auftragsverarbeiter") gemäß Art. 28 DSGVO. Er wird beim Onboarding automatisch geschlossen.

1. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten der Endkunden des Verantwortlichen durch den Auftragsverarbeiter im Rahmen der Bereitstellung des Dienstes „Sondercase". Die Dauer entspricht der Laufzeit des Hauptvertrags.

2. Art, Umfang und Zweck

Verarbeitet werden eingehende Kundenanfragen (E-Mail/Messenger), zugehörige Bestell- und Kontaktdaten zum Zweck der automatisierten oder entwurfsbasierten Beantwortung von Support-Anfragen.

2a. Qualitätsmessung und Produktverbesserung

Der Auftragsverarbeiter berechnet aus den im Rahmen der Leistungserbringung ohnehin verarbeiteten Nachrichten aggregierte Qualitätskennzahlen — insbesondere, in welchem Umfang die von der KI vorgeschlagenen Antworten unverändert übernommen bzw. bearbeitet oder verworfen werden (z. B. Anteil geänderter Wörter). Dabei werden keine Nachrichteninhalte für Mitarbeiter sichtbar gemacht und keine zusätzlichen Inhaltskopien gespeichert; es entstehen ausschließlich aggregierte Kennzahlen zur Verbesserung und Qualitätssicherung des Dienstes. Diese Verarbeitung erfolgt im Rahmen der dokumentierten Weisung des Verantwortlichen (Art. 28 DSGVO).

3. Art der Daten und Kategorien betroffener Personen

  • Datenarten: Kontaktdaten, Kommunikationsinhalte, Bestell-/Transaktionsdaten.
  • Betroffene: Endkunden des Verantwortlichen.

4. Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich nach dokumentierter Weisung des Verantwortlichen.
  • Vertraulichkeitsverpflichtung der eingesetzten Personen.
  • Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO (siehe Anlage).
  • Unterstützung bei Betroffenenrechten und Meldepflichten (Art. 33/34 DSGVO).
  • Löschung oder Rückgabe der Daten nach Vertragsende nach Wahl des Verantwortlichen.
  • Nachweis der Einhaltung und Ermöglichung von Audits.

5. Unterauftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz der in der Datenschutzerklärung genannten Sub-Auftragsverarbeiter. Über Änderungen wird der Auftragsverarbeiter rechtzeitig informieren; ein Widerspruchsrecht aus wichtigem Grund besteht.

6. Technische und organisatorische Maßnahmen (Anlage TOM)

  • Verschlüsselung von Zugangsdaten und Secrets (Verschlüsselung ruhender sensibler Daten).
  • Zugriffskontrolle (Row-Level-Security, rollenbasierter Zugriff), Mandantentrennung pro Organisation.
  • Transportverschlüsselung (TLS), Authentifizierung über JWT.
  • Protokollierung, Ratenbegrenzung und Bot-Schutz.
  • Regelmäßige Backups und Wiederherstellbarkeit.
  • Interne Auswertungen erfolgen ausschließlich über einen nur-lesenden, protokollierten Datenbankzugriff auf aggregierte Kennzahlen; Nachrichteninhalte werden dabei nicht für Mitarbeiter sichtbar gemacht.

7. Drittland

Eine Übermittlung in Drittländer erfolgt nur unter Einhaltung der Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln).

8. Haftung und Schlussbestimmungen

Es gelten ergänzend die Regelungen des Hauptvertrags. Bei Widersprüchen geht dieser AVV in datenschutzrechtlichen Fragen vor.