rechtliches

Auftragsverarbeitungsvertrag

Stand: 1. Juni 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die Pflichten der Vertragsparteien zum Datenschutz, die sich aus dem zwischen ihnen geschlossenen Hauptvertrag über die Nutzung der Software-as-a-Service-Plattform „HeyAbbot" (nachfolgend „Hauptvertrag") ergeben.

Der AVV findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragsverarbeiters oder durch ihn beauftragte Dritte personenbezogene Daten des Auftraggebers verarbeiten.

§ 1 Vertragsparteien

Verantwortlicher (Auftraggeber): Der Nutzer von HeyAbbot — d.h. das Unternehmen, die selbstständig tätige Person oder die sonstige juristische Person, die HeyAbbot vertraglich nutzt. Identität ergibt sich aus den Kontodaten des Nutzers.

Auftragsverarbeiter (Auftragnehmer):

McQueen Creatives
Mio McQueen
Ingeborg-Drewitz-Allee 22
79111 Freiburg im Breisgau
E-Mail: mio@mcqueencreatives.de
(nachfolgend „Auftragsverarbeiter")

§ 2 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung ist die Bereitstellung der HeyAbbot-Plattform gemäß den Bestimmungen des Hauptvertrags. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu diesem Zweck und nur im Auftrag und auf Weisung des Auftraggebers.

(2) Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Sie endet mit dessen Beendigung, vorbehaltlich der in § 9 geregelten Lösch- und Rückgabepflichten.

§ 3 Art und Zweck der Verarbeitung

(1) Der Auftragsverarbeiter erbringt für den Auftraggeber folgende Verarbeitungsleistungen:

  • Bereitstellung der HeyAbbot-Plattform (SaaS) zur Verwaltung von Kunden, Leads, Projekten, Angeboten, Rechnungen, Ausgaben, Zeiterfassung und sonstigen Geschäftsdaten
  • Speicherung, Strukturierung und Analyse von Geschäftsdaten des Auftraggebers
  • Bereitstellung KI-gestützter Funktionen („Abbot") zur Unterstützung der unternehmerischen Tätigkeit
  • Anbindung an verbundene Drittsysteme (z.B. Buchhaltung, Banking, Kalender, E-Mail) auf Wunsch des Auftraggebers
  • Erstellung und Versand von Benachrichtigungen und Reports

(2) Zweck der Verarbeitung ist die Erfüllung des Hauptvertrags. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt — insbesondere werden Daten nicht zum Training eigener oder fremder KI-Modelle verwendet.

§ 4 Art der personenbezogenen Daten

(1) Folgende Datenkategorien werden im Auftrag verarbeitet:

  • Stammdaten (Namen, Anschriften, Kontaktdaten von Kunden, Leads, Lieferanten, Mitarbeitenden des Auftraggebers)
  • Kommunikationsdaten (E-Mails, Telefonnummern, Nachrichteninhalte sofern in die Plattform eingegeben)
  • Vertragsdaten (Angebots-, Rechnungs- und Zahlungsdaten)
  • Finanzdaten (Bank-Transaktionen über Banking-Integrationen, Ausgaben, Belege)
  • Nutzungsdaten (Login-Zeiten, IP-Adressen, Browser-Informationen zu Sicherheitszwecken)
  • Metadaten aus verbundenen Drittsystemen (Kalender, E-Mail, Dokumente — nur soweit vom Auftraggeber freigegeben)
  • Inhaltliche Daten, die der Auftraggeber freiwillig in der Plattform speichert

(2) Eine Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht Gegenstand des Vertrags. Sollte der Auftraggeber solche Daten in die Plattform einstellen, geschieht dies in seiner alleinigen Verantwortung.

§ 5 Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

  • Kunden und potenzielle Kunden des Auftraggebers
  • Lieferanten und Dienstleister des Auftraggebers
  • Beschäftigte und Mitarbeitende des Auftraggebers (soweit als Nutzer angelegt)
  • Kontaktpersonen und Geschäftspartner des Auftraggebers
  • Sonstige Personen, deren Daten der Auftraggeber in der Plattform verarbeitet

§ 6 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten:

  • nur im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers zu verarbeiten
  • nicht zu eigenen Zwecken zu verwenden und insbesondere nicht für das Training eigener oder fremder KI-Modelle einzusetzen
  • nicht an unbefugte Dritte weiterzugeben

(2) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.

(3) Der Auftragsverarbeiter stellt sicher, dass alle Personen, die mit der Verarbeitung betraut sind, zur Vertraulichkeit verpflichtet sind und über die relevanten datenschutzrechtlichen Bestimmungen informiert wurden.

(4) Der Auftragsverarbeiter benennt auf Anfrage einen Ansprechpartner für Datenschutz-Angelegenheiten. Datenschutzanfragen sind an mio@mcqueencreatives.de zu richten.

(5) Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft die in Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Diese umfassen insbesondere:

Vertraulichkeit

  • Zugangskontrolle: Schutz vor unbefugtem Zugang zu Datenverarbeitungsanlagen (Cloud-Hosting in EU-Rechenzentren mit Zugangskontrollen, Multi-Faktor-Authentifizierung für Administratoren)
  • Zugriffskontrolle: Rollen- und Berechtigungskonzept, strikte Mandantentrennung auf Datenbank-Ebene (User-Isolation), Authentifizierung per gehashtem Passwort (bcrypt) oder OAuth2
  • Trennungskontrolle: Logische Trennung der Daten verschiedener Auftraggeber durch Mandanten-IDs in allen Datenbankzugriffen
  • Pseudonymisierung wo möglich

Integrität

  • Eingabekontrolle: Protokollierung sensibler Vorgänge (z.B. Vertrags-Akzeptanz, Datenfreigaben, Inbox-Aktionen)
  • Weitergabekontrolle: TLS 1.2+ Verschlüsselung aller Datenübertragungen

Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: Regelmäßige Backups (mindestens täglich), Wiederherstellungsprozeduren, Monitoring kritischer Dienste
  • Schutz vor Datenverlust durch redundante Speicherung in EU-Rechenzentren
  • Schutz gegen DoS / DDoS auf Infrastruktur-Ebene

Verfahren zur regelmäßigen Überprüfung

  • Datenschutz-Management durch dokumentierte Richtlinien
  • Vorfall-Reaktionsprozess (Incident Response) für Datenschutzverletzungen
  • Regelmäßige Sicherheits-Updates der eingesetzten Software-Komponenten
  • Verschlüsselte Speicherung von Zugangsdaten und Tokens (AES-256-GCM)

Eine detaillierte, aktuelle Übersicht der TOMs wird auf Anforderung in gesonderter Anlage zur Verfügung gestellt.

§ 8 Subunternehmer (weitere Auftragsverarbeiter)

(1) Der Auftraggeber erteilt hiermit die allgemeine Genehmigung zur Beauftragung weiterer Auftragsverarbeiter (Subunternehmer) für die Bereitstellung der Plattform.

(2) Aktuell eingesetzte Subunternehmer:

  • Amazon Web Services EMEA SARL (Hosting / Datenspeicherung) — Sitz: Luxemburg; Server-Standort: Frankfurt am Main, Deutschland
  • Vercel Inc. (Hosting / CDN) — Sitz: USA; EU-Region (Frankfurt) konfiguriert; EU Standard Contractual Clauses (SCC) abgeschlossen
  • Stripe Payments Europe Ltd. (Zahlungsabwicklung) — Sitz: Irland
  • Anthropic, PBC (KI-Verarbeitung für „Abbot"-Chat) — Sitz: USA; Data Processing Addendum (DPA) abgeschlossen; SCC; keine Verwendung für Training
  • OpenAI Ireland Ltd. (Embeddings / semantische Suche) — Sitz: Irland; DPA abgeschlossen; keine Verwendung für Training
  • finAPI GmbH (PSD2-Banking-Aggregator, nur bei aktivierter Integration) — Sitz: Deutschland
  • Lexware GmbH / lexoffice (Buchhaltungs-Integration, nur bei aktivierter Integration) — Sitz: Deutschland
  • Google Ireland Ltd. (OAuth + optionale Workspace-Integration, nur auf Wunsch) — Sitz: Irland
  • Microsoft Ireland Operations Ltd. (OAuth + optionale Microsoft 365-Integration, nur auf Wunsch) — Sitz: Irland

(3) Bei Drittlandtransfers (insbesondere USA) ist die Übermittlung durch Standardvertragsklauseln (SCC) der EU-Kommission und ggf. zusätzliche Schutzmaßnahmen abgesichert. Soweit Anbieter unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind, dient auch dieses als Rechtsgrundlage.

(4) Der Auftragsverarbeiter wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter informieren. Der Auftraggeber hat ein Widerspruchsrecht innerhalb von 30 Tagen ab Mitteilung. Bei berechtigtem Widerspruch ist der Auftraggeber zur außerordentlichen Kündigung des Hauptvertrags berechtigt.

(5) Der Auftragsverarbeiter stellt sicher, dass jeder Subunternehmer datenschutzrechtlich gleichwertig verpflichtet ist (DSGVO Art. 28 Abs. 4).

§ 9 Rechte der betroffenen Personen / Unterstützung des Auftraggebers

(1) Der Auftragsverarbeiter unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflicht zur Beantwortung von Anträgen betroffener Personen (Art. 12 bis 23 DSGVO).

(2) Wenden sich betroffene Personen direkt an den Auftragsverarbeiter, leitet dieser solche Anfragen unverzüglich an den Auftraggeber weiter.

(3) Über die Plattform stehen folgende Funktionen zur Verfügung:

  • Daten-Export aller gespeicherten Daten (Art. 20 DSGVO)
  • Lösch-Funktion für einzelne Datensätze und das Gesamtkonto (Art. 17 DSGVO)
  • Korrektur-Funktion für unrichtige Daten (Art. 16 DSGVO)

§ 10 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, jede Verletzung des Schutzes personenbezogener Daten, die im Verantwortungsbereich des Auftragsverarbeiters eingetreten ist.

(2) Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Soweit möglich: Kategorien und Anzahl betroffener Personen und Datensätze
  • Name und Kontaktdaten des Ansprechpartners
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Risikominderung

(3) Der Auftragsverarbeiter unterstützt den Auftraggeber bei der eigenen Meldepflicht gegenüber der zuständigen Aufsichtsbehörde und gegebenenfalls betroffenen Personen.

§ 11 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Hauptvertrags hat der Auftraggeber die Möglichkeit, innerhalb einer Karenzzeit von 30 Tagen alle seine Daten über die in der Plattform integrierte Export-Funktion herunterzuladen.

(2) Nach Ablauf der Karenzzeit löscht der Auftragsverarbeiter alle personenbezogenen Daten des Auftraggebers unwiderruflich aus seinen Systemen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(3) Daten in Backup-Systemen werden im Rahmen der regulären Backup-Rotations-Zyklen (max. 90 Tage) gelöscht.

(4) Eine bescheinigte Löschbestätigung wird auf schriftliche Anforderung ausgestellt.

§ 12 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, sich von der Einhaltung der Pflichten dieses Vertrages zu überzeugen. Der Auftragsverarbeiter ermöglicht dies durch:

  • Bereitstellung schriftlicher Auskünfte auf Anfrage
  • Bereitstellung aktueller Dokumentation zu TOMs und Subunternehmern
  • Ermöglichung von Inspektionen vor Ort nach vorheriger Terminabstimmung (bei begründetem Anlass und auf Kosten des Auftraggebers)

(2) Soweit verfügbar, werden Auditberichte und Zertifizierungen anerkannter Prüfstellen (z.B. ISO 27001 der eingesetzten Hosting-Provider) zur Verfügung gestellt.

§ 13 Haftung

Die Haftung der Parteien für Schäden aufgrund einer Verletzung von Datenschutzvorschriften richtet sich nach Art. 82 DSGVO und den Regelungen des Hauptvertrags.

§ 14 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen.

(2) Bei Widersprüchen zwischen diesem AVV und den Bestimmungen des Hauptvertrags haben die Regelungen dieses AVV in datenschutzrechtlichen Fragen Vorrang.

(3) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform (E-Mail genügt). Bei wesentlichen Änderungen wird der Auftraggeber rechtzeitig informiert.

(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Freiburg im Breisgau, sofern der Auftraggeber Kaufmann oder eine juristische Person des öffentlichen Rechts ist.

Vertragsschluss

Dieser AVV gilt als geschlossen mit Annahme der Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters durch den Auftraggeber bei der Registrierung. Der Auftragsverarbeiter dokumentiert Zeitpunkt und Version der Annahme.