Auftragsverarbeitungsvertrag (AVV)

Zwischen

Auftraggeber (Kunde):
[Name und Anschrift des Kunden]

und

Auftragsverarbeiter (Anbieter):
Referra
Ermin Zahirovic
Brahmsstraße 8
81677 München
E-Mail: info@referra.de

wird folgender Auftragsverarbeitungsvertrag geschlossen:

Der Auftragsverarbeiter verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Nutzung der Software-as-a-Service-Plattform "Referra". Die Verarbeitung umfasst insbesondere:

• Speicherung von Kundendaten und Leads des Auftraggebers
• Verarbeitung von Kontaktdaten (Namen, E-Mail-Adressen, Telefonnummern)
• Erstellung und Verwaltung von Empfehlungs-Links
• Lead-Tracking und -Verwaltung
• Inbox-Verwaltung für neue Leads
• Template-Verwaltung

Die Art, den Umfang und den Zweck der Verarbeitung ergeben sich aus den Allgemeinen Geschäftsbedingungen (AGB) und der Datenschutzerklärung des Auftragsverarbeiters.

Die Auftragsverarbeitung beginnt mit dem Vertragsschluss und endet mit der Beendigung des Nutzungsvertrags. Nach Beendigung des Vertrags werden die Daten für eine Übergangsfrist von 30 Tagen aufbewahrt, damit der Auftraggeber diese exportieren kann. Danach werden alle Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der Weisungen des Auftraggebers und zur Erfüllung des Nutzungsvertrags. Die Verarbeitung erfolgt:

• Nur auf Anweisung des Auftraggebers
• Zweckgebunden und datensparsam
• DSGVO-konform
• SSL-verschlüsselt

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse)
• Kommunikationsdaten (Nachrichten, Notizen)
• Nutzungsdaten (Zeitpunkt der Erstellung von Links, Klicks)
• Technische Daten (IP-Adressen, Browser-Informationen - soweit erforderlich)

Betroffene Personen sind:

• Kunden des Auftraggebers
• Leads und Interessenten des Auftraggebers
• Mitarbeiter des Auftraggebers (soweit diese die Plattform nutzen)

Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er verpflichtet sich:

• Nur rechtmäßig erworbene Daten zu verarbeiten
• Die erforderlichen Einwilligungen der betroffenen Personen einzuholen
• Den Auftragsverarbeiter über Änderungen der Verarbeitungszwecke zu informieren
• Den Auftragsverarbeiter über Rechtsverstöße zu informieren

Der Auftragsverarbeiter verpflichtet sich:

• Die Daten nur im Rahmen der Weisungen des Auftraggebers zu verarbeiten
• Die Daten vertraulich zu behandeln
• Technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen
• Unterauftragsverarbeiter nur mit Zustimmung des Auftraggebers einzusetzen
• Den Auftraggeber über Verstöße zu informieren
• Auskunft über die Verarbeitung zu erteilen
• Die Daten nach Beendigung des Vertrags zu löschen oder zurückzugeben

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen getroffen:

• SSL/TLS-Verschlüsselung für alle Datenübertragungen
• Verschlüsselte Datenspeicherung
• Zugriffskontrollen und Authentifizierung
• Regelmäßige Sicherheitsupdates
• Tägliche automatisierte Backups
• Zugriffsprotokollierung
• Vertraulichkeitsverpflichtungen für Mitarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

• Supabase Inc. (Datenbank, Backend) - Singapur, Datenschutzerklärung: https://supabase.com/privacy
• Vercel Inc. (Hosting) - USA, Datenschutzerklärung: https://vercel.com/legal/privacy-policy
• Stripe Payments Europe Ltd. (Zahlungen) - Irland, Datenschutzerklärung: https://stripe.com/de/privacy

Der Auftraggeber erklärt sich mit dem Einsatz dieser Unterauftragsverarbeiter einverstanden. Der Auftragsverarbeiter informiert den Auftraggeber über Änderungen der Unterauftragsverarbeiter.

Wichtiger Hinweis zu Drittländern: Einige Unterauftragsverarbeiter (Vercel - USA, Supabase - Singapur) haben ihren Sitz außerhalb des EWR. Für die Datenübermittlung in diese Drittländer werden Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO verwendet. Diese werden durch die jeweiligen Dienstleister bereitgestellt und sind in deren Datenschutzerklärungen dokumentiert. Der Auftraggeber erklärt sich mit der Verwendung dieser SCC einverstanden.

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Anfragen betroffener Personen werden an den Auftraggeber weitergeleitet, der für die Bearbeitung verantwortlich ist.

Nach Beendigung des Vertragsverhältnisses hat der Auftraggeber die Möglichkeit, seine Daten innerhalb von 30 Tagen zu exportieren. Danach werden alle Daten des Auftraggebers gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Der Auftragsverarbeiter verpflichtet sich, nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten zu löschen oder an den Auftraggeber zurückzugeben, es sei denn, eine Aufbewahrung ist gesetzlich vorgeschrieben.

Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses Vertrags durch den Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter stellt hierfür die erforderlichen Informationen zur Verfügung und ermöglicht Prüfungen, soweit dies zumutbar ist.

Änderungen dieses Vertrags bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt deutsches Recht. Erfüllungsort ist München.

Hinweis: Mit der Registrierung auf der Plattform akzeptiert der Kunde diesen Auftragsverarbeitungsvertrag. Der Kunde kann die AVV jederzeit unter /avv einsehen und ausdrucken.