Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

1. Vertragsparteien

Zwischen dem Kunden (Verantwortlicher) und Blickfang Labs UG (haftungsbeschränkt), Lohmühlenstraße 65, 12435 Berlin, Deutschland (Auftragsverarbeiter).

2. Gegenstand & Dauer

Verarbeitung von personenbezogenen Daten im Rahmen der Nutzung von Blickfang.ai (Analyse, Skripte, Rendering). Laufzeit entspricht der Vertragslaufzeit des SaaS-Vertrags; etwaige Aufbewahrungspflichten bleiben unberührt.

3. Art der Daten & betroffene Personen

• Kontakt- und Account-Daten (Name, E-Mail) von Nutzern/Teammitgliedern.
• Inhaltliche Projektdaten, die Personenbezug enthalten können (z. B. Exposé-Texte, Bildmaterial).
• Betroffene Personengruppen: Kunden, Interessenten, Mitarbeitende der Kunden.

4. Pflichten des Auftragsverarbeiters

• Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen.
• Vertraulichkeitsverpflichtung des berechtigten Personals.
• Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs) gemäß Art. 32 DSGVO.
• Unterstützung bei Wahrnehmung von Betroffenenrechten und bei Datenschutz-Folgenabschätzungen.
• Unverzügliche Information bei Datenschutzverletzungen.

5. Subunternehmer

Der Einsatz von Subprozessoren (z. B. AWS, Stripe, PostHog) ist zulässig. Eine aktuelle Liste wird bereitgestellt; wesentliche Änderungen werden vorab mit angemessener Frist angekündigt. Der Verantwortliche kann bei berechtigtem Anlass widersprechen.

6. Technische und organisatorische Maßnahmen

Wesentliche TOMs: Verschlüsselung von Daten in Transit und at Rest (AWS KMS), rollenbasierte Zugriffskontrolle (RBAC), Protokollierung administrativer Zugriffe, Netzwerksegmentierung, Backups mit begrenzter Aufbewahrung, regelmäßige Sicherheitstests.

7. Rechte der Betroffenen & Unterstützung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit, soweit möglich und vereinbart. Kosten werden nach angemessenem Aufwand berechnet, sofern nicht gesetzlich untersagt.

8. Kontrolle & Nachweise

Der Verantwortliche ist berechtigt, Audits anzukündigen oder geeignete Nachweise (z. B. ISO/SOC Berichte, Penetrationstests) einzusehen. Audits erfolgen in Abstimmung und ohne unverhältnismäßige Beeinträchtigung des Betriebs.

9. Löschung & Rückgabe

Nach Abschluss des Auftrags werden personenbezogene Daten nach Weisung gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Backups werden turnusmäßig überschrieben.

10. Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand, soweit zulässig, ist Berlin. Änderungen dieses AVV werden versioniert bereitgestellt; maßgeblich ist die zum Vertragsabschluss hinterlegte Version.