Rechtliches

Auftragsverarbeitungsvertrag (AVV)

nach Art. 28 DSGVO · Stand: 28. Juni 2026

Übersicht

Parteien & Rollen
§ 1 Gegenstand & Dauer
§ 2 Art, Zweck, Daten
§ 3 Pflichten des Auftragnehmers
§ 4 Unterauftragsverarbeiter
§ 5–7 Rechte, Meldungen, Weisungen
§ 8–12 Löschung, Kontrollen, Schluss
Anlagen 1–3

Parteien & Rollen

Dieser Vertrag wird geschlossen zwischen:

dem Verantwortlichen („Auftraggeber") — dem Nutzer der Digitalen Service Agentur, identifiziert über die bei Registrierung/Onboarding hinterlegten Kontodaten (Name, Agentur, Anschrift, dienstliche E-Mail-Adresse).

dem Auftragsverarbeiter („Auftragnehmer"):

Digitale Service Agentur – ein Angebot von AdvoAgent, Tobias Weingärtner (Einzelunternehmen)
Eulerstraße 39, 40477 Düsseldorf, Deutschland
E-Mail: tobias@advoagent.com

Präambel. Der Auftragnehmer stellt dem Auftraggeber die Software „Digitale Service Agentur" (DSA) bereit (Hauptvertrag = AGB). Dabei verarbeitet er im Auftrag des Auftraggebers personenbezogene Daten von dessen Interessenten und Kunden. Dieser Vertrag konkretisiert die Pflichten nach Art. 28 DSGVO. Der Abschluss erfolgt elektronisch beim Onboarding (Art. 28 Abs. 9 DSGVO).

Abgrenzung. Gegenstand ist ausschließlich die Verarbeitung der Daten der Interessenten/Kunden des Auftraggebers, die der Auftragnehmer im Auftrag verarbeitet (integrierte Formulare, personalisierte Onepager). Die Verarbeitung der eigenen Konto-/Profildaten des Auftraggebers erfolgt durch den Auftragnehmer in eigener Verantwortlichkeit (siehe Datenschutzerklärung) und ist nicht Gegenstand dieses AVV.

§ 1 Gegenstand und Dauer

(1) Gegenstand ist die Bereitstellung der DSA-Software, insbesondere die Erstellung, Speicherung und Bereitstellung personalisierter Onepager sowie die Entgegennahme und Weiterleitung von Anfragen aus den integrierten Formularen.

(2) Die Dauer entspricht der Laufzeit des Hauptvertrags (AGB) und endet automatisch mit dessen Beendigung; die Pflichten zu Löschung/Rückgabe (§ 8) bleiben bestehen.

§ 2 Art, Umfang und Zweck der Verarbeitung

Art, Umfang und Zweck der Verarbeitung sowie Datenarten und Kategorien betroffener Personen ergeben sich aus Anlage 1.

§ 3 Pflichten des Auftragnehmers (Art. 28 Abs. 3)

Der Auftragnehmer

verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers; die Nutzung der Software gemäß ihrem Funktionsumfang gilt als solche Weisung. Weitergehende Weisungen erfolgen in Textform;
stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheit unterliegen;
ergreift die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Anlage 2);
nimmt Unterauftragsverarbeiter nur unter den Voraussetzungen des § 4 in Anspruch;
unterstützt den Auftraggeber bei Betroffenenrechten (Art. 12–23) sowie bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung);
löscht oder gibt zurück die Daten nach Abschluss der Verarbeitung gemäß § 8;
stellt die zum Nachweis erforderlichen Informationen bereit und ermöglicht Überprüfungen (§ 9);
informiert den Auftraggeber unverzüglich, wenn eine Weisung gegen Datenschutzrecht zu verstoßen droht.

§ 4 Unterauftragsverarbeiter (Art. 28 Abs. 2, 4)

(1) Der Auftraggeber erteilt die allgemeine Genehmigung zur Beauftragung der in Anlage 3 genannten Unterauftragsverarbeiter.

(2) Der Auftragnehmer informiert über beabsichtigte Änderungen (Hinzuziehung/Ersetzung). Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund binnen 14 Tagen nach der Information widersprechen.

(3) Der Auftragnehmer verpflichtet Unterauftragsverarbeiter auf ein gleichwertiges Datenschutzniveau (Art. 28 Abs. 4 DSGVO).

§ 5 Betroffenenrechte · § 6 Meldungen · § 7 Weisungen

§ 5. Wenden sich betroffene Personen direkt an den Auftragnehmer, leitet er das Anliegen unverzüglich an den Auftraggeber weiter und unterstützt ihn bei der Beantwortung.

§ 6. Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt den Auftraggeber bei dessen Melde-/Benachrichtigungspflichten (Art. 33, 34 DSGVO).

§ 7. Weisungsberechtigt sind die im Konto hinterlegten verantwortlichen Personen; Weisungen sind in Textform zu dokumentieren.

§ 8 Löschung/Rückgabe · § 9 Kontrollen · § 10–12

§ 8 Löschung und Rückgabe.

(1) Solange das Vertragsverhältnis besteht — auch bei gekündigtem oder pausiertem Abonnement mit fortbestehendem, reaktivierbarem Konto — speichert der Auftragnehmer die Daten weiter, damit der Auftraggeber sein Konto reaktivieren kann. Bei gekündigtem Abonnement werden die personalisierten Onepager offline genommen.

(2) Mit endgültiger Löschung des Kontos durch den Auftraggeber oder auf dessen Weisung löscht der Auftragnehmer die im Auftrag verarbeiteten Daten innerhalb von 30 Tagen oder gibt sie nach Wahl des Auftraggebers zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

(3) Speicherbegrenzung: Wird ein gekündigtes Konto über 24 Monate nicht reaktiviert, werden das Konto und die zugehörigen Daten automatisch gelöscht.

§ 9. Der Auftragnehmer weist die Einhaltung seiner Pflichten auf Anfrage nach (Informationen, Zertifikate, Berichte). Vor-Ort-Kontrollen sind mit angemessener Vorankündigung und ohne Betriebsstörung möglich.

§ 10 Drittland. Soweit Unterauftragsverarbeiter in einem Drittland (insb. USA) verarbeiten, geschieht dies nur bei angemessenem Schutzniveau (EU-US Data Privacy Framework, Art. 45, oder Standardvertragsklauseln, Art. 46 DSGVO). Einzelheiten in Anlage 3.

§ 11 Haftung. Im Außenverhältnis zu betroffenen Personen gilt Art. 82 DSGVO. Im Innenverhältnis der Parteien gelten ergänzend die Haftungsregelungen des Hauptvertrags (AGB, § 10): unbeschränkte Haftung bei Vorsatz und grober Fahrlässigkeit sowie bei der Verletzung von Leben, Körper oder Gesundheit; bei einfacher Fahrlässigkeit Haftung nur bei Verletzung einer wesentlichen Vertragspflicht und begrenzt auf den vertragstypischen, vorhersehbaren Schaden — soweit dies der zwingenden Haftung nach Art. 82 DSGVO nicht entgegensteht.

§ 12 Schluss. Der Vertrag kann elektronisch geschlossen werden (Art. 28 Abs. 9). Bei Widersprüchen zum Hauptvertrag gehen hinsichtlich des Datenschutzes die Regelungen dieses AVV vor. Es gilt deutsches Recht; Gerichtsstand ist — soweit gesetzlich zulässig — Düsseldorf.

Anlagen

Anlage 1 — Art, Zweck, Datenarten, Betroffene

Art/Zweck: Bereitstellung der DSA-Software; Erstellung/Speicherung/Bereitstellung personalisierter Onepager; Entgegennahme und Weiterleitung von Formularanfragen per E-Mail an den Auftraggeber (keine dauerhafte Speicherung der Formulareingaben beim Auftragnehmer).
Formulare (Stand): betriebliche Krankenversicherung (bKV) im Rahmen der Familienabsicherung, Privathaftpflicht, Hausrat, Wohngebäude, Unfall, Rechtsschutz, Kfz sowie ein Investment-Formular (Erhebung langfristiger Anlageabsichten). Die Sachversicherungs-Formulare erheben keine Vertragsdaten, bieten aber optional den Upload eines bestehenden Vertrags zur Beratung.
Datenarten: Kontaktdaten (Name, Anschrift, E-Mail, Telefon); bedarfs-/interessenbezogene Angaben aus den Formularen (gewünschte Leistungen, Anlageabsichten u. Ä.); optional vom Interessenten hochgeladene Dokumente (z. B. bestehende Versicherungsverträge), die personenbezogene und finanzielle Angaben enthalten können; Inhaltsdaten der personalisierten Onepager.
Betroffene: Interessenten und Kunden des Auftraggebers sowie ggf. deren Familienangehörige (Familienabsicherung, einschließlich Kinder).
Rechtsgrundlage: Jeder Auftraggeber (Nutzer) hat eine eigene Datenschutzerklärung, die die Interessenten vor dem Absenden des Formulars aktiv bestätigen müssen (Pflicht-Checkbox). Die Verarbeitung erfolgt auf Grundlage dieser Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bzw. zur Vertragsanbahnung (lit. b).
Besondere Kategorien (Art. 9): Die Formulare erheben keine Gesundheitsdaten im engeren Sinn (keine Gesundheitsfragen, Diagnosen o. Ä.). Erfasst werden Kontaktdaten, ggf. die gesetzliche Krankenkasse sowie Tarif-/Leistungswünsche (z. B. Stationär, Zahnzusatz, Gesundheitsbudget); diese sind versicherungs-, nicht gesundheitsbezogen. Sollten künftig tatsächlich gesundheitsbezogene Angaben erhoben werden, ist hierfür eine gesonderte ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO einzuholen.

Anlage 2 — Technische & organisatorische Maßnahmen (Art. 32)

Verschlüsselung: Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen; Verschlüsselung der Daten im Ruhezustand beim Hosting-/Datenbankanbieter (Standard von Vercel/Supabase).
Vertraulichkeit: individuelle Benutzerkonten, rollenbasierte Zugriffskontrolle, Verpflichtung der befugten Personen auf Vertraulichkeit.
Integrität: Eingabe-/Weitergabekontrolle, Protokollierung relevanter Vorgänge.
Verfügbarkeit: regelmäßige automatische Datenbank-Backups (Supabase-Standard), Schutz vor Verlust, Wiederherstellbarkeit.
Datensparsamkeit: Formulareingaben werden per E-Mail an den Auftraggeber zugestellt und nicht dauerhaft in der Anwendung gespeichert.
Hinweis: Eine Zwei-Faktor-Authentifizierung für Nutzerkonten ist derzeit nicht implementiert.

Anlage 3 — Unterauftragsverarbeiter

Vercel Inc. (USA) — Hosting/Bereitstellung der Anwendung & Onepager. Drittland → DPF/SCC.
Supabase Inc. (USA; Server-Region EU) — Datenbank & Datei-Speicher (u. a. personalisierte Onepager-Inhalte, optional hochgeladene Dokumente). Drittland → DPF/SCC.
Resend, Inc. (USA) — E-Mail-Zustellung der Formularanfragen an den Auftraggeber. Drittland → DPF/SCC.

Nicht Gegenstand dieses AVV sind Google (Gemini) und Stripe: Sie verarbeiten die eigenen Konto-/Profildaten des Nutzers (KI-Profilbild bzw. Zahlungsabwicklung), für die der Anbieter selbst Verantwortlicher ist (siehe Datenschutzerklärung), und nicht die im Auftrag verarbeiteten Daten der Interessenten/Kunden.