Vereinbarung zur Auftragsverarbeitung (AVV)
gemäß Art. 28 Abs. 3 DSGVO — Stand: Februar 2026
1. Gegenstand und Dauer der Verarbeitung
1.1 Der Auftragnehmer ([Name/Rechtsform des Unternehmens], nachfolgend „ZuseCRM") erbringt für den Auftraggeber (Kunde) Leistungen im Bereich einer cloudbasierten CRM-Plattform. Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers.
1.2 Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages (Nutzung von ZuseCRM).
2. Art und Zweck der Verarbeitung
2.1 Die Verarbeitung umfasst die Speicherung, Verwaltung, Analyse und Bereitstellung von Kundendaten innerhalb der SaaS-Umgebung von ZuseCRM.
2.2 Soweit KI-Funktionen genutzt werden, erfolgt die Verarbeitung zur Analyse von Datensätzen, zur automatisierten Texterstellung oder zur Vorhersage von Vertriebschancen im Auftrag des Kunden.
3. Kategorien betroffener Personen und Datenarten
3.1 Betroffene Personen: Kunden des Auftraggebers, Interessenten, Mitarbeiter des Auftraggebers, Lieferanten und sonstige Geschäftskontakte.
3.2 Datenarten: Stammdaten (Name, Adresse), Kontaktdaten (Telefon, E-Mail), Vertragsdaten, Interaktionshistorie, Notizen sowie durch KI generierte Profile/Analysen.
4. Pflichten des Auftragnehmers (ZuseCRM)
4.1 Der Auftragnehmer verarbeitet Daten nur im Rahmen der Weisungen des Auftraggebers.
4.2 Er gewährleistet, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben.
4.3 Der Auftragnehmer setzt angemessene technische und organisatorische Maßnahmen (TOMs) ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (z. B. Verschlüsselung, Zugriffskontrollen). Die TOMs sind in der Anlage zu dieser Vereinbarung dokumentiert.
4.4 Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Auskunft, Löschung etc.) und bei der Meldung von Datenschutzverletzungen.
5. Unterauftragsverhältnisse (Sub-Prozessoren)
5.1 Der Auftraggeber genehmigt hiermit die Beauftragung folgender Sub-Unternehmer:
| Sub-Prozessor | Zweck | Standort |
|---|---|---|
| Google Cloud (Google Ireland Ltd.) | Hosting der Anwendung (Cloud Run) | Frankfurt, EU (europe-west3) |
| Supabase Inc. | Datenbank (PostgreSQL) | Frankfurt, EU (AWS eu-central-1) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Dublin, Irland (EU) |
| OpenAI, L.L.C. | KI-Funktionen (API, kein Modell-Training) | USA (EU-US DPF + DPA) |
5.2 Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung bezüglich der Hinzuziehung oder Ersetzung von Sub-Unternehmern. Der Auftraggeber kann innerhalb einer angemessenen Frist widersprechen.
6. Kontrollrechte des Auftraggebers
6.1 Der Auftraggeber ist berechtigt, die Einhaltung der Datenschutzvorschriften und dieser Vereinbarung beim Auftragnehmer zu kontrollieren (z. B. durch Einsicht in Zertifizierungen oder Vor-Ort-Kontrollen nach Voranmeldung).
7. Löschung und Rückgabe von Daten
7.1 Nach Beendigung des Hauptvertrages wird der Auftragnehmer alle personenbezogenen Daten des Auftraggebers löschen oder zurückgeben, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Der Auftraggeber kann vor der Löschung einen Datenexport im JSON-Format anfordern.
8. Haftung
8.1 Es gelten die Haftungsregelungen des Hauptvertrages (AGB), soweit nicht die unmittelbare Haftung gemäß Art. 82 DSGVO eingreift.
Anlage: Technische und organisatorische Maßnahmen (TOM)
für ZuseCRM — Stand: Februar 2026
Diese Maßnahmen gewährleisten ein dem Risiko angemessenes Schutzniveau für die Daten unserer Kunden.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle: Unsere Server werden bei Google Cloud (Frankfurt) und Supabase (AWS Frankfurt) gehostet. Diese Rechenzentren sind nach ISO 27001 zertifiziert und durch biometrische Zugangskontrollen, Sicherheitspersonal und Videoüberwachung geschützt.
Zugangskontrolle: Der Zugriff auf das CRM ist nur über verschlüsselte Passwörter (PBKDF2-Hash) möglich. Wir erzwingen HTTPS für alle Verbindungen.
Zugriffskontrolle: Jede Datenbankabfrage in ZuseCRM ist durch Row Level Security (RLS)
geschützt. Ein Nutzer kann technisch nur Daten sehen, die mit seiner spezifischen client_id
verknüpft sind (Mandantentrennung).
Trennungskontrolle: Daten von Test- und Produktivumgebungen werden strikt voneinander getrennt.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle: Alle Datenübertragungen erfolgen über TLS-verschlüsselte Verbindungen (SSL).
Eingabekontrolle: Alle Schreib- und Löschvorgänge in der Datenbank werden protokolliert, um nachvollziehen zu können, welcher Nutzer welche Änderungen vorgenommen hat.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle: Wir nutzen automatisiertes Backup-Management durch Supabase (tägliche Backups). Google Cloud Run skaliert die Anwendung automatisch, um Lastspitzen abzufangen.
Wiederherstellbarkeit: Ein Notfallplan (Disaster Recovery) stellt sicher, dass das System innerhalb weniger Stunden aus einem Backup wiederhergestellt werden kann.
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
Software-Updates: Wir nutzen automatisierte Dependency-Checks, um Sicherheitslücken in verwendeten Bibliotheken sofort zu erkennen und zu schließen.
Privacy by Design: Neue Funktionen (besonders KI-Features) werden vor dem Release auf ihre Datenschutzkonformität geprüft.
Auftragsverarbeiter-Prüfung: Wir arbeiten nur mit Anbietern zusammen, die ebenfalls strenge TOMs und AVVs nachweisen können (Google, Stripe, OpenAI via API).