(1) Der Auftragsverarbeiter erbringt für den Kunden die Leistungen gemäß Nutzungsvertrag (Bereitstellung der SaaS „Margency Agents" – ein KI-gestütztes Büro). Im Rahmen dieser Leistung verarbeitet er personenbezogene Daten im Auftrag und nach Weisung des Kunden.
(2) Art der Verarbeitung: Erheben, Speichern, Organisieren, Auslesen, Verändern, Übermitteln (an die im Auftrag genutzten Dienste) und Löschen, im Umfang der vom Kunden genutzten Funktionen (u. a. Kontakt-/CRM-Verwaltung, Erstellung von E-Mail-/Angebots-/Rechnungsentwürfen, Lead-Recherche, Inhalte).
(3) Zweck: ausschließlich die vertragsgemäße Erbringung der vereinbarten Leistungen.
(4) Dauer: für die Laufzeit des Nutzungsvertrags; Löschung/Rückgabe nach § 8.
Datenarten (je nach Nutzung durch den Kunden): Stammdaten (Namen, Anschriften), Kommunikationsdaten (E-Mail-Adressen, Telefonnummern, Nachrichteninhalte), Vertrags-/Geschäftsdaten (Angebote, Rechnungen, Belege), ggf. Mitarbeiterdaten des Kunden (für Lohn-/HR-Funktionen).
Kategorien betroffener Personen: Kontakte, Interessenten und Kunden des Kunden, dessen Mitarbeiter sowie weitere vom Kunden eingegebene Personen.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags; der Kunde gibt solche Daten nicht ein.
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Kunden, einschließlich hinsichtlich Drittlandübermittlungen, sofern nicht eine gesetzliche Verpflichtung besteht (in diesem Fall teilt er dies vorher mit, soweit zulässig).
(2) Die Nutzung der Software durch den Kunden und die Einstellungen, die er vornimmt, gelten als Weisung. Mündliche Weisungen werden unverzüglich in Textform bestätigt.
(3) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Kunden und darf deren Ausführung aussetzen.
Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und stellt sicher, dass sie nur weisungsgemäß handeln.
Der Auftragsverarbeiter trifft geeignete TOMs, insbesondere:
Die TOMs werden bei Bedarf an den Stand der Technik angepasst; ein gleichwertiges oder höheres Schutzniveau bleibt gewahrt.
(1) Der Kunde genehmigt allgemein den Einsatz der unten genannten Unterauftragsverarbeiter. Mit diesen bestehen Verträge mit Datenschutzpflichten, die den Anforderungen des Art. 28 DSGVO entsprechen.
(2) Änderungen (Hinzunahme/Austausch) teilt der Auftragsverarbeiter rechtzeitig mit; der Kunde kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
| Unterauftragsverarbeiter | Zweck | Ort / Garantie |
|---|---|---|
| Supabase, Inc. (USA) | Datenbank, Authentifizierung, Hosting | Datenhaltung EU (Irland / eu-west-1, AWS) – DPA inkl. SCC |
| Anthropic PBC | KI-Verarbeitung (Texte/Entwürfe) | USA – SCC |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | EU/USA – SCC |
| Hetzner Online GmbH | Betrieb des Anwendungsservers (Web-/App-Server) | EU (Deutschland, Nürnberg) |
| Vom Kunden angebundene Dienste (Postfach: Google/Microsoft; Buchhaltung: sevDesk/lexoffice) | nur auf Veranlassung des Kunden | gemäß Anbieter |
Die jeweils aktuelle Liste wird auf Anfrage bereitgestellt und bei Änderungen aktualisiert.
(1) Der Auftragsverarbeiter unterstützt den Kunden mit geeigneten Maßnahmen bei der Beantwortung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Funktionen wie Datenexport und Konto-/Datenlöschung stehen unmittelbar im Dienst bereit.
(2) Er unterstützt den Kunden ferner bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung). Wird ihm eine Verletzung des Schutzes personenbezogener Daten bekannt, informiert er den Kunden unverzüglich.
Nach Beendigung des Nutzungsvertrags werden die personenbezogenen Daten nach Wahl des Kunden gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Standardmäßig werden die Daten 90 Tage nach Vertragsende vorgehalten (Reaktivierung möglich) und danach endgültig gelöscht. Der Kunde kann jederzeit die sofortige Löschung über die Funktion im Dienst auslösen.
(1) Der Auftragsverarbeiter stellt dem Kunden die zum Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen zur Verfügung.
(2) Er ermöglicht Überprüfungen – auch Inspektionen – durch den Kunden oder einen beauftragten Prüfer in zumutbarem Umfang, nach angemessener Vorankündigung und ohne den Betrieb unverhältnismäßig zu stören; vorrangig durch Auskünfte und Nachweise.
(1) Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag gehen für den Bereich der Auftragsverarbeitung die Regelungen dieses AVV vor.
(2) Es gilt deutsches Recht. Ist eine Bestimmung unwirksam, bleibt die Wirksamkeit der übrigen unberührt.