Auftragsverarbeitungsvertrag (AVV)
Version 1.0.0 · Stand 2026-04-25
Diese Seite spiegelt den aktuellen AVV in Textform. Im Dashboard kannst du den AVV elektronisch annehmen und ein signiertes PDF herunterladen. Im Dashboard annehmen
Dieser Auftragsverarbeitungsvertrag (im Folgenden 'AVV') konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Nutzung der von Neltacore, LLC unter dem Markennamen 'Deskwoot' bereitgestellten Software-as-a-Service-Plattform (im Folgenden 'Hauptvertrag') ergeben. Er gilt für alle Tätigkeiten, bei denen Beschäftigte des Auftragnehmers oder durch ihn beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen. Dieser AVV erfüllt die Anforderungen des Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
(1) Gegenstand des Auftrags ergibt sich aus dem Hauptvertrag, auf den hier verwiesen wird (Bereitstellung der Deskwoot-Plattform für Kundensupport-Operationen). (2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags. Mit Beendigung des Hauptvertrags endet auch dieser AVV automatisch, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.
§ 2 Konkretisierung des Auftragsinhalts
(1) Art und Zweck der vorgesehenen Verarbeitung: Verarbeitung personenbezogener Daten zur Bereitstellung von Kundensupport-Funktionen einschließlich Multi-Channel-Inbox, KI-gestützter Antwort-Automatisierung, Wissensdatenbank, Live-Chat-Widget, Reporting und Integration in E-Commerce-Systeme des Auftraggebers. (2) Art der personenbezogenen Daten: Stamm- und Kontaktdaten (Name, E-Mail, Telefon), Kommunikationsinhalte (Nachrichten, Tickets), Order-/Bestelldaten (sofern Auftraggeber E-Commerce-Integration nutzt), Nutzungs- und Zugriffsdaten (IP-Adresse, User-Agent, Zeitstempel), ggf. weitere von der betroffenen Person freiwillig übermittelte Daten. (3) Kategorien betroffener Personen: Endkunden des Auftraggebers, Mitarbeiter und Agenten des Auftraggebers (sofern diese die Plattform nutzen), Besucher der vom Auftraggeber betriebenen Webseiten (sofern Live-Chat-Widget eingebunden).
§ 3 Technische und organisatorische Maßnahmen
(1) Der Auftragnehmer hat die in Anlage A beschriebenen technischen und organisatorischen Maßnahmen (TOM) zum Schutz der personenbezogenen Daten zu treffen und während der Dauer des Auftrags aufrechtzuerhalten. (2) Der Auftragnehmer überprüft die Maßnahmen regelmäßig und passt sie dem aktuellen Stand der Technik an. Wesentliche Änderungen werden dem Auftraggeber mitgeteilt. (3) Die Maßnahmen werden so festgelegt und durchgeführt, dass sie ein dem Risiko angemessenes Schutzniveau gewährleisten (Art. 32 DSGVO).
§ 4 Berichtigung, Einschränkung und Löschung von Daten
(1) Der Auftragnehmer wird Daten nur nach den Weisungen des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Dies gilt insbesondere für Anfragen betroffener Personen nach Art. 15-22 DSGVO. (2) Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Löschung oder Auskunft wendet, leitet der Auftragnehmer die Anfrage unverzüglich an den Auftraggeber weiter. (3) Der Auftragnehmer stellt im Rahmen seiner Plattform Funktionen bereit, mit denen der Auftraggeber Anfragen betroffener Personen selbst bearbeiten kann (z.B. Datenexport, Account-Löschung).
§ 5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers und im Rahmen des Hauptvertrags. (2) Der Auftragnehmer verpflichtet seine zur Verarbeitung befugten Beschäftigten zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO) oder stellt sicher, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. (3) Der Auftragnehmer benennt auf Verlangen einen Ansprechpartner für Datenschutzangelegenheiten. Anfragen sind zu richten an: privacy@deskwoot.com. (4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten. (5) Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 2 DSGVO werden vom Auftragnehmer dokumentiert und auf Anforderung des Auftraggebers oder einer Aufsichtsbehörde vorgelegt.
§ 6 Unterauftragsverhältnisse
(1) Der Auftraggeber stimmt der Beauftragung der in Anlage B aufgeführten Unterauftragnehmer zu. (2) Der Auftragnehmer informiert den Auftraggeber rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. (3) Bei Unterauftragnehmern in Drittländern (außerhalb des EWR) gewährleistet der Auftragnehmer ein angemessenes Datenschutzniveau insbesondere durch den Abschluss von EU-Standardvertragsklauseln (SCC). (4) Der Auftragnehmer wählt seine Unterauftragnehmer sorgfältig aus und überprüft regelmäßig deren Datenschutzniveau.
§ 7 Kontrollrechte
(1) Der Auftraggeber überzeugt sich vor Beginn und während der Datenverarbeitung von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierzu kann er z.B. Auskünfte einholen, vorhandene Testate (z.B. ISO 27001, SOC 2) oder Selbstaudits einsehen. (2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten überzeugen kann. Auf Anforderung erhält der Auftraggeber alle hierzu erforderlichen Informationen.
§ 8 Mitteilung bei Verstößen
(1) Der Auftragnehmer benachrichtigt den Auftraggeber unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme, über Verletzungen des Schutzes personenbezogener Daten i.S.d. Art. 33 DSGVO. (2) Die Meldung enthält mindestens: Art der Verletzung, Kategorien und ungefähre Anzahl betroffener Personen, mögliche Folgen, ergriffene und vorgeschlagene Gegenmaßnahmen.
§ 9 Weisungsbefugnis
(1) Mündliche Weisungen werden vom Auftraggeber unverzüglich schriftlich oder per E-Mail bestätigt. (2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt. (3) Der Auftragnehmer ist berechtigt, die Durchführung einer entsprechenden Weisung solange auszusetzen, bis sie durch den verantwortlichen Auftraggeber bestätigt oder geändert wird.
§ 10 Löschung und Rückgabe von personenbezogenen Daten
(1) Nach Beendigung des Hauptvertrags hat der Auftragnehmer alle in seinen Besitz gelangten personenbezogenen Daten nach Wahl des Auftraggebers entweder zurückzugeben oder datenschutzgerecht zu löschen. (2) Eine Verpflichtung zur Aufbewahrung nach gesetzlichen Vorschriften bleibt unberührt. (3) Die Plattform stellt dem Auftraggeber Self-Service-Funktionen für Datenexport und Account-Löschung zur Verfügung. Auf gesonderte schriftliche Anfrage führt der Auftragnehmer die Löschung manuell durch.
§ 11 Schlussbestimmungen
(1) Es gilt das Recht der Bundesrepublik Deutschland, soweit der Auftraggeber seinen Sitz in Deutschland hat. Andernfalls gilt das Recht des Landes, in dem der Auftraggeber seinen Sitz hat, sofern dies zwingendes EU-Recht ist. (2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so wird die Wirksamkeit des AVV im Übrigen nicht berührt. Die Parteien werden anstelle der unwirksamen Bestimmung eine wirksame Bestimmung vereinbaren, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. (3) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform; eine elektronische Annahme über die Plattform des Auftragnehmers ist gemäß Art. 28 Abs. 9 DSGVO ausreichend. (4) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag haben die Regelungen dieses AVV Vorrang.
Anlage A — Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO
Der Auftragnehmer hat die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten getroffen.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Hosting in zertifizierten Rechenzentren (Railway / GCP, EU-Region Niederlande). Physischer Zugang nur für autorisiertes Personal des Hosting-Anbieters.
- Zugangskontrolle: Authentifizierung über Email + Passwort (bcrypt-gehasht), optionales 2FA via TOTP, JWT-Sessions mit konfigurierbarer Ablaufzeit, Session-Sperrung bei Logout. Admin-API-Tokens mit konfigurierbaren Scopes und Sofort-Widerruf.
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (Owner / Admin / Agent / Custom Role). Restricted-Scope-Agents sehen nur eigene Konversationen. Audit-Log über alle privilegierten Operationen.
- Trennungskontrolle: Mandantenfähigkeit über `accountId`-Spalte auf jeder Tabelle; Postgres-Row-Level-Sicherheitsregeln im Anwendungs-Layer durchgesetzt.
- Pseudonymisierung: Customer-IDs sind nicht-vorhersagbare CUID-Strings. Login-Tokens werden als SHA-256-Hash in der DB gespeichert.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle: TLS 1.2+ für alle externen Verbindungen (HTTPS auf deskwoot.com, TLS auf Postgres-Proxy, TLS auf SMTP-Mailerverbindungen).
- Eingabekontrolle: Audit-Log mit User-ID, Zeitstempel, IP-Adresse, User-Agent für jede privilegierte Aktion (Login, API-Token-Erstellung, Subscription-Änderung, Konversations-Löschung, Refund/Cancel-Aktionen).
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Backup: Tägliche automatisierte Postgres-Backups durch den Hosting-Anbieter (Railway), aufbewahrt für mindestens 7 Tage. Manuelle Sicherung vor jedem Schema-Migrations-Lauf.
- Disaster Recovery: Multi-Region-Architektur möglich (aktuell single-region europe-west4). RTO < 4h für vollständige DB-Wiederherstellung, RPO < 24h.
- Verfügbarkeitskontrolle: Health-Checks auf allen Services, automatisches Restart bei Crash (Railway-Restart-Policy), CDN-vorgelagerte Static-Assets via Cloudflare.
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige Überprüfung der TOMs durch den Auftragnehmer (mindestens jährlich).
- Datenschutz-Folgenabschätzung wird auf Anfrage des Auftraggebers für seine spezifische Nutzung der Plattform unterstützt.
- Incident-Response-Verfahren: bei Bekanntwerden eines Sicherheitsvorfalls wird der Auftraggeber innerhalb von 72 Stunden informiert (vgl. § 8 dieses AVV).
5. Auftragskontrolle (Art. 28 DSGVO)
- Schriftlicher AVV mit jedem Auftraggeber (dieses Dokument).
- Verpflichtung zur Vertraulichkeit für alle Beschäftigten und Subunternehmer.
- Schriftliche Vereinbarungen / DPAs mit allen Subunternehmern (siehe Anlage B).
- EU-Standardvertragsklauseln (SCC) für Subunternehmer in Drittländern.
Anlage B — Liste der genehmigten Unterauftragnehmer
Der Auftraggeber stimmt der Beauftragung der nachfolgend aufgeführten Unterauftragnehmer zu. Über Änderungen wird der Auftragnehmer den Auftraggeber rechtzeitig informieren (vgl. § 6 Abs. 2).