Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (nachfolgend “AVV”) regelt die Verarbeitung personenbezogener Daten zwischen dem Nutzer von Sendiamo (nachfolgend “Auftraggeber” oder “Verantwortlicher”) und Sendiamo, betrieben von Julian Radins, Smaragdweg 5, 49377 Vechta (nachfolgend “Auftragnehmer” oder “Auftragsverarbeiter”) gemäß Art. 28 DSGVO.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten der Kontakte des Auftraggebers (z.B. Namen, E-Mail-Adressen, Geburtsdaten, Telefonnummern, Notizen) ausschließlich im Auftrag und nach Weisung des Auftraggebers.

Gegenstand: Speicherung, Verwaltung und automatisierter Versand von persönlichen Nachrichten (E-Mails, ggf. WhatsApp-/SMS-Deeplinks) zu vom Auftraggeber definierten Anlässen.

Dauer: Die Verarbeitung erfolgt für die Laufzeit der Nutzung von Sendiamo durch den Auftraggeber. Sie endet automatisch mit Beendigung des Nutzungsverhältnisses.

Folgende Verarbeitungstätigkeiten werden durchgeführt:

• Speicherung von Kontaktdaten in einer MySQL-Datenbank (Server in Deutschland)
• Verwaltung von Anlässen, Erinnerungen und Beziehungen
• Automatisierte Generierung und Versand persönlicher Nachrichten zu Anlässen
• Bereitstellung von Statistiken und Auswertungen für den Auftraggeber
• Optional: KI-gestützte Textvorschläge (nur Pro-Plan, anonymisiert)
• Optional: Integration mit CRM-Systemen des Auftraggebers

• Name, Vorname, Anrede
• E-Mail-Adresse, Telefonnummer (optional)
• Geburtsdatum, Hochzeitsdatum, weitere Anlässe (optional)
• Adresse, Stadt, Land (optional)
• Beziehungsstatus (z.B. Kunde, Freund, Geschäftspartner)
• Notizen, Erinnerungen, Interessen (optional, vom Auftraggeber eingegeben)
• Profilbilder, Galerie-Bilder (optional)
• Kommunikationsverlauf (gesendete Nachrichten, Reaktionen)

Kontakte des Auftraggebers, insbesondere:

• Geschäftskunden, Mandanten, Patienten
• Privatkunden
• Geschäftspartner, Lieferanten, Netzwerk-Kontakte
• Familie, Freunde, Bekannte (bei privater Nutzung)

Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers zu verarbeiten. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen Datenschutzbestimmungen verstößt, teilt er dies dem Auftraggeber unverzüglich mit.
• Vertraulichkeit zu wahren und alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten.
• Die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zu treffen (siehe Anhang).
• Den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32-36 DSGVO zu unterstützen, soweit erforderlich.
• Nach Beendigung des Auftrags alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen.

Der Auftraggeber verpflichtet sich:

• Sicherzustellen, dass für die Verarbeitung der Kontaktdaten eine Rechtsgrundlage nach Art. 6 DSGVO besteht (z.B. Einwilligung, berechtigtes Interesse, Vertrag).
• Seine Kontakte über die Verarbeitung ihrer Daten durch Sendiamo zu informieren, soweit erforderlich.
• Anfragen betroffener Personen (Auskunft, Löschung, Berichtigung) selbst zu bearbeiten oder den Auftragsverarbeiter zu beauftragen.
• Den Auftragsverarbeiter über Datenpannen oder sicherheitsrelevante Vorfälle unverzüglich zu informieren.

Der Auftraggeber stimmt zu, dass folgende Subunternehmer eingesetzt werden:

• Hetzner Online GmbH, Falkenstein (Deutschland) - Hosting der Server und Datenbank. AVV vorhanden.
• Stripe Payments Europe Ltd., Irland - Zahlungsabwicklung (nur Abrechnungsdaten des Auftraggebers, keine Kontaktdaten).
• Anthropic PBC, USA (nur bei Nutzung der KI-Schreibhilfe im Pro-Plan): Übermittlung anonymisierter Kontextdaten (kein Name, keine E-Mail) zur Generierung von Textvorschlägen. Standardvertragsklauseln (SCC) abgeschlossen. Daten werden nach 30 Tagen gelöscht und nicht zum Training verwendet.
• Brevo SAS, Frankreich (System-E-Mails wie Verifizierung, Passwort-Reset). Abgesichert per AVV.

Der Einsatz weiterer Subunternehmer wird dem Auftraggeber rechtzeitig per E-Mail oder im Dashboard angekündigt. Der Auftraggeber kann diesem widersprechen.

Die Verarbeitung erfolgt grundsätzlich in der Europäischen Union (Deutschland). Eine Übermittlung in Drittländer findet nur im Fall der KI-Schreibhilfe (Anthropic, USA) statt und ist durch Standardvertragsklauseln (SCC) abgesichert. Der Auftraggeber wird nur dann zum Empfänger, wenn er die KI-Schreibhilfe aktiv aktiviert hat.

Der Auftragsverarbeiter ergreift folgende Sicherheitsmaßnahmen nach Art. 32 DSGVO:

• Verschlüsselung: Alle SMTP-Passwörter und CRM-Tokens werden mit AES-256-GCM verschlüsselt gespeichert.
• Transport: TLS 1.2+ für alle Verbindungen (Web, E-Mail, API).
• Zugriffskontrolle: Passwort-Hashing mit bcrypt, Role-based Access Control, Session-Management.
• Authentifizierung: NextAuth.js v5 mit sicheren Session-Cookies (HttpOnly, Secure, SameSite).
• Webhooks: HMAC-SHA256 Signaturen, SSRF-Schutz für ausgehende Webhooks.
• Rate Limiting: Schutz vor Brute-Force, DDoS und API-Missbrauch auf nginx-Ebene.
• Backups: Verschlüsselte tägliche DB-Backups mit chmod 600.
• Monitoring: fail2ban, Server-Logs, Sentry (optional, ohne PII).
• Datenminimierung: Es werden nur die für den Zweck notwendigen Daten erhoben.
• Pseudonymisierung: Bei der KI-Schreibhilfe werden personenbezogene Daten anonymisiert.
• Eingeschränkter Zugriff: Nur autorisierte Administratoren haben Server-Zugang.
• Löschkonzept: Auf Anfrage werden Daten innerhalb von 30 Tagen vollständig gelöscht.

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich (innerhalb von 72 Stunden) bei:

• Datenschutzverletzungen, die personenbezogene Daten des Auftraggebers betreffen
• Anfragen von Aufsichtsbehörden, die sich auf Daten des Auftraggebers beziehen
• Kontrollen oder Maßnahmen Dritter, die für den Auftraggeber relevant sind
• Wesentlichen Änderungen der TOMs oder eingesetzten Subunternehmer

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und den ergänzenden gesetzlichen Bestimmungen. Im Innenverhältnis haftet der Auftragsverarbeiter für Schäden, die er durch nicht weisungsgemäße Verarbeitung verursacht.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Es gilt deutsches Recht. Gerichtsstand ist Vechta (Niedersachsen).

Dieser AVV wird beim ersten Login bzw. bei Versions-Updates explizit vom Auftraggeber bestätigt. Die Bestätigung wird mit Zeitstempel und IP-Adresse dokumentiert.