Auftragsverarbeitungsvertrag (AVV) gemäß Art.28 DSGVO

1. Vertragsparteien

   
   1.1 Auftraggeber (Verantwortlicher)
   • Bezeichnung / Firmenname: _______________
   • Anschrift: _______________
   • Vertreten durch: _______________
   • (nachfolgend „Auftraggeber“ oder „Verantwortlicher“)

   
   1.2 Auftragnehmer (Auftragsverarbeiter)
   • Bezeichnung / Firmenname: Adtention GmbH (CRM= ADtrack)
   • Anschrift: In der Schmitte 12/4, 6700 Bludenz, Österreich
   • Vertreten durch: Geschäftsführer Florian Torghele, Sandro Torghele
   • (nachfolgend „Auftragnehmer“ oder „Auftragsverarbeiter“)
   Der Auftraggeber und der Auftragnehmer werden einzeln auch als „Partei“ und gemeinsam als
   „Parteien“ bezeichnet.

   
   

2. Gegenstand und Dauer der Verarbeitung

   
   2.1 Gegenstand
   Der Auftragnehmer erbringt für den Auftraggeber Dienstleistungen im Bereich CRM, Marketing
   Automatisierung und Kommunikationstools unter der Marke „ADtrack“, basierend auf der
   Plattform von GoHighLevel/LeadConnector. Im Rahmen dieser Leistungen verarbeitet der
   Auftragnehmer personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers.

   
   2.2 Dauer
   Dieser AVV gilt für die Dauer des zwischen den Parteien geschlossenen Hauptvertrags (z.B.
   Nutzungsvertrag, Servicevertrag) über die Nutzung von ADtrack. Endet der Hauptvertrag, endet
   auch dieser AVV, sofern keine darüberhinausgehenden gesetzlichen Aufbewahrungsfristen
   bestehen.

   
   

3. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten,
   betroffene Personen

   
   3.1 Verarbeitungszwecke
   • Kunden- und Kontaktmanagement (CRM)
   • Versenden von Nachrichten (E-Mail, SMS, WhatsApp, etc.)
   • Termin- und Kampagnenverwaltung
   • Weitere Marketing- und Kommunikationsfunktionen nach Weisung des Auftraggebers

   
   3.2 Art der personenbezogenen Daten
   In der Regel:
   • Kontakt- und Stammdaten (Name, Anschrift, E-Mail-Adresse, Telefonnummer etc.)
   • Kommunikations- und Interaktionsdaten (z.B. Chatverläufe, Terminbuchungen)
   • Ggf. weitere Datenkategorien nach Weisung des Auftraggebers (z.B. Tags, interne Notizen) 3.3
   Kategorien betroffener Personen
   • Kunden, Interessenten, Geschäftspartner des Auftraggebers
   • Personen, deren Daten der Auftraggeber in das System einstellt (z.B. Leads, Newsletter
   Abonnenten, etc.)
   Der Auftraggeber wird keine Daten besonderer Kategorien (Art.9 DSGVO) über das System
   verarbeiten, es sei denn, dies ist ausdrücklich vereinbart und die dafür erforderlichen
   Maßnahmen sind vereinbart.

   
   

4. Pflichten des Auftragnehmers (Auftragsverarbeiters)

   
   4.1 Weisungsgebundenheit
   • Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der mit
   dem Auftraggeber geschlossenen Vereinbarung und nur nach dessen dokumentierten
   Weisungen (Art.29 DSGVO).
   • Soweit der Auftragnehmer gesetzlich zu einer abweichenden Verarbeitung verpflichtet ist (z.B.
   durch nationales Recht), teilt er dies dem Auftraggeber vor der Verarbeitung mit, sofern dies
   nicht gesetzlich untersagt ist.

   
   4.2 Vertraulichkeit
   • Der Auftragnehmer stellt sicher, dass alle Personen, die mit der Verarbeitung
   personenbezogener Daten betraut werden, sich zur Vertraulichkeit verpflichtet haben oder einer
   angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

   
   4.3 Sicherheit der Verarbeitung
   • Der Auftragnehmer ergreift sämtliche erforderlichen technischen und organisatorischen
   Maßnahmen (TOM) gemäß Art.32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu
   gewährleisten. Hierzu zählen u.a. Verschlüsselung (TLS, AES-256), Zugriffsbeschränkungen
   (RBAC, 2-Faktor-Authentifizierung), Netzwerk Sicherheitsmechanismen (Firewalls, Intrusion
   Detection), regelmäßige Backups und Monitoring.
   • Die konkreten TOM sind in Anhang 1 (Technische und organisatorische Maßnahmen)
   beschrieben.

   
   4.4 Unterstützungspflichten
   • Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten
   (Art.12–23 DSGVO) sowie bei der Einhaltung von Art.32–36 DSGVO (Sicherheit, Meldepflichten,
   Datenschutz-Folgenabschätzung).
   • Bei Anfragen betroffener Personen (z.B. Auskunft, Löschung) wird der Auftragnehmer den
   Auftraggeber informieren und die Durchführung von Löschungen oder Exporten nach dessen
   Weisung ermöglichen.

   
   4.5 Meldung von Datenschutzverletzungen
   • Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des
   Schutzes personenbezogener Daten (Art.4 Nr.12 DSGVO) bekannt wird, die Daten des
   Auftraggebers betrifft. Diese Meldung enthält alle relevanten Informationen, um dem
   Auftraggeber ggf. eine Meldung an die Aufsichtsbehörde und ggf. die Information der
   betroffenen Personen zu ermöglichen.

   
   4.6 Löschung und Rückgabe
   • Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche personenbezogenen
   Daten, sofern der Auftraggeber nicht vorab eine Datenherausgabe verlangt und keine
   gesetzlichen Aufbewahrungsfristen dem entgegenstehen.
   • Die Löschung erfolgt gemäß den intern definierten Prozessen (z.B. automatisierte Lösch
   Workflows, manuelle Löschung der Accounts). Auf Wunsch kann der Auftraggeber den
   Nachweis der Löschung erhalten.

   
   

5. Pflichten des Auftraggebers (Verantwortlicher)

   
   5.1 Rechtmäßigkeit der Verarbeitung
   • Der Auftraggeber ist dafür verantwortlich, dass die Erhebung und Verarbeitung der
   personenbezogenen Daten rechtmäßig erfolgt und dass ggf. erforderliche Einwilligungen oder
   andere Rechtsgrundlagen (Art.6 DSGVO) vorliegen.
   • Er führt ein Verzeichnis der Verarbeitungstätigkeiten nach Art.30 DSGVO.

   
   5.2 Weisungen
   • Der Auftraggeber erteilt dem Auftragnehmer alle Weisungen in schriftlicher oder
   elektronischer Form.
   • Änderungen oder Erweiterungen dieser Weisungen sind ebenfalls schriftlich oder elektronisch
   mitzuteilen.

   
   5.3 Kontrolle
   • Der Auftraggeber überzeugt sich vor Beginn und während der Verarbeitung regelmäßig davon,
   dass die beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen
   eingehalten werden. Dies kann durch Einsichtnahme in Zertifikate, Audit Berichte oder ggf. vor
   Ort Prüfungen erfolgen (unter Wahrung der Betriebs- und Geschäftsgeheimnisse des
   Auftragnehmers).

   
   

6. Unterauftragsverhältnisse (Sub-Prozessoren)

   
   6.1 Genehmigte Sub-Prozessoren
   • Der Auftraggeber gestattet dem Auftragnehmer die Einschaltung von
   Unterauftragsverarbeitern („Sub-Prozessoren“), soweit dies für die vertragsgemäße
   Leistungserbringung erforderlich ist. Dazu gehören insbesondere:
   ◦ GoHighLevel/LeadConnector (Plattform-Basis, inkl. Datenhosting)
   ◦ Cloud-Infrastruktur: Amazon Web Services (AWS), Google Cloud Platform (GCP)
   ◦ Drittdienste (z.B. Mailgun, Twilio, Stripe, WAautoreply, Assistable.ai etc.), sofern im jeweiligen
   Leistungsumfang genutzt.

   
   6.2 Einbindung weiterer Sub-Prozessoren
   • Eine Aktualisierung der Sub-Prozessoren-Liste erfolgt durch die ADtention GmbH in einer
   öffentlich zugänglichen Übersicht auf der Seite: https://adtrackcrm/subprozessoren
   • Diese Liste wird regelmäßig aktualisiert und an den Auftraggeber gesendet.
   • Der Auftraggeber hat das Recht, gegen den Einsatz neuer Sub-Prozessoren aus berechtigten
   Datenschutzgründen Einwände zu erheben. Erfolgt kein Widerspruch innerhalb angemessener
   Frist, gilt die Zustimmung als erteilt.

   
   6.3 Pflichten der Sub-Prozessoren
   • Der Auftragnehmer stellt sicher, dass Sub-Prozessoren sich ebenfalls vertraglich verpflichten,
   die hier festgelegten Datenschutzstandards einzuhalten (Art.28 Abs.4 DSGVO).

   
   

7. Internationale Datenübermittlungen

   
   Werden Daten in ein Drittland außerhalb des EWR (z.B. USA) übertragen, so stellt der
   Auftragnehmer sicher, dass hierfür geeignete Garantien nach Art.44 ff. DSGVO bestehen (z.B.
   Standardvertragsklauseln, Zertifizierungen nach dem EU-U.S. Data Privacy Framework, weitere
   Schutzmaßnahmen). Die jeweils aktuellen Verträge und Dokumente (z.B. Data Processing
   Agreement von GoHighLevel/LeadConnector) können auf Anfrage zur Verfügung gestellt
   werden.

   
   

8. Haftung und Sonstiges

   
   8.1 Haftung
   • Die Haftung richtet sich nach den im Hauptvertrag getroffenen Regelungen.
   • Soweit eine Mitverantwortung des Auftraggebers (Verantwortlicher) vorliegt (z.B.
   unrechtmäßige Weisung, fehlende Rechtsgrundlage), trägt der Auftraggeber einen
   entsprechenden Teil des Schadens.

   
   8.2 Schriftformklausel
   • Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform bzw. Textform (E-Mail,
   elektronisch), soweit nicht strengere Formerfordernisse gelten. Dies gilt auch für einen Verzicht
   auf dieses Schriftformerfordernis.

   
   8.3 Salvatorische Klausel
   • Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die
   Wirksamkeit der übrigen Regelungen nicht. Anstelle der unwirksamen Bestimmung gilt eine dem
   Zweck möglichst nahekommende, wirksame Regelung.

   
   

9. Schlussbestimmungen

   
   Dieser Auftragsverarbeitungsvertrag (AVV) ist integraler Bestandteil des Hauptvertrags (z.B.
   Nutzungs-/Lizenzvertrag) zwischen den Parteien. Bei Widersprüchen zwischen diesem AVV und
   anderen Vereinbarungen gehen die Regelungen dieses AVV in Bezug auf Datenschutz und
   Datenverarbeitung vor.