Deskwoot logoDeskwoot

Auftragsverarbeitungsvertrag (AVV)

Version 1.2.0 · Stand 2026-05-24

Diese Seite spiegelt den aktuellen AVV in Textform. Im Dashboard kannst du den AVV elektronisch annehmen und ein signiertes PDF herunterladen. Im Dashboard annehmen

Auftragnehmer (Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO)
Neltacore, LLC
1908 Thomes Avenue, Cheyenne, WY 82001, United States

Dieser Auftragsverarbeitungsvertrag (im Folgenden 'AVV') konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Nutzung der von Neltacore, LLC unter dem Markennamen 'Deskwoot' bereitgestellten Software-as-a-Service-Plattform (im Folgenden 'Hauptvertrag') ergeben. Er gilt für alle Tätigkeiten, bei denen Beschäftigte des Auftragnehmers oder durch ihn beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen. Dieser AVV erfüllt die Anforderungen des Art. 28 DSGVO.

§ 1 Gegenstand und Dauer

(1) Gegenstand des Auftrags ergibt sich aus dem Hauptvertrag, auf den hier verwiesen wird (Bereitstellung der Deskwoot-Plattform für Kundensupport-Operationen). (2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags. Mit Beendigung des Hauptvertrags endet auch dieser AVV automatisch, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.

§ 2 Konkretisierung des Auftragsinhalts

(1) Art und Zweck der vorgesehenen Verarbeitung: Verarbeitung personenbezogener Daten zur Bereitstellung von Kundensupport-Funktionen einschließlich Multi-Channel-Inbox, KI-gestützter Antwort-Automatisierung, Wissensdatenbank, Live-Chat-Widget, Reporting und Integration in E-Commerce-Systeme des Auftraggebers. (2) Art der personenbezogenen Daten: Stamm- und Kontaktdaten (Name, E-Mail, Telefon), Kommunikationsinhalte (Nachrichten, Tickets), Order-/Bestelldaten (sofern Auftraggeber E-Commerce-Integration nutzt), Nutzungs- und Zugriffsdaten (IP-Adresse, User-Agent, Zeitstempel), ggf. weitere von der betroffenen Person freiwillig übermittelte Daten. (3) Aggregierte Bot-Kontextdaten: Soweit der Auftraggeber den KI-Bot oder das AI-Copilot-Feature nutzt, blendet der Auftragnehmer aggregierte Handelskennzahlen der jeweils zugeordneten betroffenen Person im System-Prompt des Sprachmodells ein, damit Bot-Antworten kontextbezogen und ohne unnötige Tool-Aufrufe erstellt werden können. Konkret betroffen sind: Anzahl der Bestellungen, Datum der letzten Bestellung, kumulierter Bestellwert nebst Währung sowie ein Hinweis, ob die zugrunde liegende Integration zeitnah synchronisiert wird. Personenbezogene Detailangaben zu einzelnen Bestellungen (Adresse, Zahlungsmittel, Inhalte) werden nur dann eingeblendet, wenn die Konversation zuvor durch einen Magic-Link-Workflow auf Tier-2 verifiziert wurde. (4) Kategorien betroffener Personen: Endkunden des Auftraggebers, Mitarbeiter und Agenten des Auftraggebers (sofern diese die Plattform nutzen), Besucher der vom Auftraggeber betriebenen Webseiten (sofern Live-Chat-Widget eingebunden).

§ 3 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer hat die in Anlage A beschriebenen technischen und organisatorischen Maßnahmen (TOM) zum Schutz der personenbezogenen Daten zu treffen und während der Dauer des Auftrags aufrechtzuerhalten. (2) Der Auftragnehmer überprüft die Maßnahmen regelmäßig und passt sie dem aktuellen Stand der Technik an. Wesentliche Änderungen werden dem Auftraggeber mitgeteilt. (3) Die Maßnahmen werden so festgelegt und durchgeführt, dass sie ein dem Risiko angemessenes Schutzniveau gewährleisten (Art. 32 DSGVO).

§ 4 Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer wird Daten nur nach den Weisungen des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Dies gilt insbesondere für Anfragen betroffener Personen nach Art. 15-22 DSGVO. (2) Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Löschung oder Auskunft wendet, leitet der Auftragnehmer die Anfrage unverzüglich an den Auftraggeber weiter. (3) Der Auftragnehmer stellt im Rahmen seiner Plattform Funktionen bereit, mit denen der Auftraggeber Anfragen betroffener Personen selbst bearbeiten kann (z.B. Datenexport, Account-Löschung).

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers und im Rahmen des Hauptvertrags. (2) Der Auftragnehmer verpflichtet seine zur Verarbeitung befugten Beschäftigten zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO) oder stellt sicher, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. (3) Der Auftragnehmer benennt auf Verlangen einen Ansprechpartner für Datenschutzangelegenheiten. Anfragen sind zu richten an: privacy@deskwoot.com. (4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten. (5) Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 2 DSGVO werden vom Auftragnehmer dokumentiert und auf Anforderung des Auftraggebers oder einer Aufsichtsbehörde vorgelegt.

§ 6 Unterauftragsverhältnisse

(1) Der Auftraggeber stimmt der Beauftragung der in Anlage B aufgeführten Unterauftragnehmer zu. (2) Der Auftragnehmer informiert den Auftraggeber rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. (3) Bei Unterauftragnehmern in Drittländern (außerhalb des EWR) gewährleistet der Auftragnehmer ein angemessenes Datenschutzniveau insbesondere durch den Abschluss von EU-Standardvertragsklauseln (SCC). (4) Der Auftragnehmer wählt seine Unterauftragnehmer sorgfältig aus und überprüft regelmäßig deren Datenschutzniveau.

§ 7 Kontrollrechte

(1) Der Auftraggeber überzeugt sich vor Beginn und während der Datenverarbeitung von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierzu kann er z.B. Auskünfte einholen, vorhandene Testate (z.B. ISO 27001, SOC 2) oder Selbstaudits einsehen. (2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten überzeugen kann. Auf Anforderung erhält der Auftraggeber alle hierzu erforderlichen Informationen.

§ 8 Mitteilung bei Verstößen

(1) Der Auftragnehmer benachrichtigt den Auftraggeber unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme, über Verletzungen des Schutzes personenbezogener Daten i.S.d. Art. 33 DSGVO. (2) Die Meldung enthält mindestens: Art der Verletzung, Kategorien und ungefähre Anzahl betroffener Personen, mögliche Folgen, ergriffene und vorgeschlagene Gegenmaßnahmen.

§ 9 Weisungsbefugnis

(1) Mündliche Weisungen werden vom Auftraggeber unverzüglich schriftlich oder per E-Mail bestätigt. (2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt. (3) Der Auftragnehmer ist berechtigt, die Durchführung einer entsprechenden Weisung solange auszusetzen, bis sie durch den verantwortlichen Auftraggeber bestätigt oder geändert wird.

§ 10 Löschung und Rückgabe von personenbezogenen Daten

(1) Nach Beendigung des Hauptvertrags hat der Auftragnehmer alle in seinen Besitz gelangten personenbezogenen Daten nach Wahl des Auftraggebers entweder zurückzugeben oder datenschutzgerecht zu löschen. (2) Eine Verpflichtung zur Aufbewahrung nach gesetzlichen Vorschriften bleibt unberührt. (3) Die Plattform stellt dem Auftraggeber Self-Service-Funktionen für Datenexport und Account-Löschung zur Verfügung. Auf gesonderte schriftliche Anfrage führt der Auftragnehmer die Löschung manuell durch.

§ 11 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland, soweit der Auftraggeber seinen Sitz in Deutschland hat. Andernfalls gilt das Recht des Landes, in dem der Auftraggeber seinen Sitz hat, sofern dies zwingendes EU-Recht ist. (2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so wird die Wirksamkeit des AVV im Übrigen nicht berührt. Die Parteien werden anstelle der unwirksamen Bestimmung eine wirksame Bestimmung vereinbaren, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. (3) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform; eine elektronische Annahme über die Plattform des Auftragnehmers ist gemäß Art. 28 Abs. 9 DSGVO ausreichend. (4) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag haben die Regelungen dieses AVV Vorrang.

Anlage A - Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO

Der Auftragnehmer hat die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten getroffen.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zugangskontrolle: Authentifizierung über Email + Passwort (bcrypt-gehasht), optionales 2FA via TOTP, JWT-Sessions mit konfigurierbarer Ablaufzeit, Session-Sperrung bei Logout. Admin-API-Tokens mit konfigurierbaren Scopes und Sofort-Widerruf.
  • Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (Owner / Admin / Agent / Custom Role). Restricted-Scope-Agents sehen nur eigene Konversationen. Audit-Log über alle privilegierten Operationen.
  • Trennungskontrolle: Mandantenfähigkeit über `accountId`-Spalte auf jeder Tabelle; Postgres-Row-Level-Sicherheitsregeln im Anwendungs-Layer durchgesetzt.
  • Pseudonymisierung: Customer-IDs sind nicht-vorhersagbare CUID-Strings. Login-Tokens werden als SHA-256-Hash in der DB gespeichert.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: TLS 1.2+ für alle externen Verbindungen (HTTPS auf deskwoot.com, TLS auf Postgres-Proxy, TLS auf SMTP-Mailerverbindungen).
  • Eingabekontrolle: Audit-Log mit User-ID, Zeitstempel, IP-Adresse, User-Agent für jede privilegierte Aktion (Login, API-Token-Erstellung, Subscription-Änderung, Konversations-Löschung, Refund/Cancel-Aktionen).

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Backup: Tägliche automatisierte Postgres-Backups durch den Hosting-Anbieter, aufbewahrt für mindestens 7 Tage. Manuelle Sicherung vor jedem Schema-Migrations-Lauf.
  • Disaster Recovery: Multi-Region-Architektur möglich (aktuell single-region EU). RTO < 4h für vollständige DB-Wiederherstellung, RPO < 24h.
  • Verfügbarkeitskontrolle: Health-Checks auf allen Services, automatisches Restart bei Crash, CDN-vorgelagerte Static-Assets via Cloudflare.

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Überprüfung der TOMs durch den Auftragnehmer (mindestens jährlich).
  • Datenschutz-Folgenabschätzung wird auf Anfrage des Auftraggebers für seine spezifische Nutzung der Plattform unterstützt.
  • Incident-Response-Verfahren: bei Bekanntwerden eines Sicherheitsvorfalls wird der Auftraggeber innerhalb von 72 Stunden informiert (vgl. § 8 dieses AVV).

5. Auftragskontrolle (Art. 28 DSGVO)

  • Schriftlicher AVV mit jedem Auftraggeber (dieses Dokument).
  • Verpflichtung zur Vertraulichkeit für alle Beschäftigten und Subunternehmer.
  • Schriftliche Vereinbarungen / DPAs mit allen Subunternehmern (siehe Anlage B).
  • EU-Standardvertragsklauseln (SCC) für Subunternehmer in Drittländern.

Anlage B - Liste der genehmigten Unterauftragnehmer

Der Auftraggeber stimmt der Beauftragung der nachfolgend aufgeführten Unterauftragnehmer zu. Über Änderungen wird der Auftragnehmer den Auftraggeber rechtzeitig informieren (vgl. § 6 Abs. 2).

Railway Corporation
Zweck: Application + database hosting
Region: EU (Netherlands)
Datenkategorien: All customer data at rest and in transit
Datenschutz-Hinweise
Anthropic, PBC
Zweck: AI inference (Claude models) for the AI agent
Region: European Union
Datenkategorien: Conversation content sent to the AI bot for response generation
Übermittlung: EU Standard Contractual Clauses (SCCs) per Anthropic's published Trust Center; data not used to train Anthropic models
Datenschutz-Hinweise
OpenAI, L.L.C.
Zweck: AI inference (GPT family) for the AI agent. Engaged only when the bot is configured to route through OpenAI-hosted models; data not used to train OpenAI models
Region: European Union
Datenkategorien: Conversation content sent to the AI bot for response generation
Übermittlung: EU Standard Contractual Clauses (SCCs) per OpenAI's DPA
Datenschutz-Hinweise
Microsoft Corporation
Zweck: AI inference for the AI agent when Azure-hosted model endpoints are selected. Engaged only when the bot routes through an Azure-served model
Region: European Union
Datenkategorien: Conversation content sent to the AI bot for response generation
Übermittlung: EU Standard Contractual Clauses (SCCs) per Microsoft's Online Services DPA
Datenschutz-Hinweise
Google LLC
Zweck: AI inference (Gemini family) and language translation services. Engaged only when the bot routes through a Google-hosted model or when auto-translation of conversations is enabled
Region: European Union
Datenkategorien: Conversation content sent for inference or translation
Übermittlung: EU Standard Contractual Clauses (SCCs) per Google Cloud DPA
Datenschutz-Hinweise
Ably Realtime Ltd.
Zweck: Realtime channel transport for messages between the agent dashboard, the public chat widget and the mobile apps
Region: European Union
Datenkategorien: Encrypted message payloads in transit; no long-term storage on Ably's side
Datenschutz-Hinweise
Stripe, Inc.
Zweck: Payment processing (subscriptions + connected merchant accounts)
Region: European Economic Area (Ireland) for EU customers; United States for fallback
Datenkategorien: Billing data: name, email, billing address, payment method tokens
Übermittlung: EU SCCs per Stripe DPA
Datenschutz-HinweiseDPA
Twilio Inc. (SendGrid)
Zweck: Transactional email delivery
Region: United States
Datenkategorien: Recipient email addresses, email content
Übermittlung: EU SCCs per Twilio DPA
Datenschutz-Hinweise
Twilio Inc. (Messaging API)
Zweck: SMS and voice channel delivery. Engaged only when the customer has enabled the SMS channel or configured a phone number on an inbox; not used otherwise
Region: United States
Datenkategorien: Phone numbers, SMS message content, call metadata
Übermittlung: EU SCCs per Twilio DPA
Datenschutz-Hinweise
Cloudflare, Inc.
Zweck: DNS, CDN, DDoS protection
Region: Global edge network
Datenkategorien: IP addresses, request metadata, TLS-terminated request payloads
Übermittlung: EU SCCs per Cloudflare DPA
Datenschutz-HinweiseDPA
PostHog Inc.
Zweck: Product analytics (page views, feature usage)
Region: European Union (Frankfurt)
Datenkategorien: Pseudonymized usage events, feature-flag evaluations
Datenschutz-Hinweise
EasyPost Inc.
Zweck: Carrier shipment-status lookups (when customer has Carrier tracking enabled)
Region: United States
Datenkategorien: Tracking numbers + carrier identifiers (no end-customer personal data)
Übermittlung: EU SCCs per EasyPost DPA
Datenschutz-Hinweise

Häufig gestellte Fragen

DSGVO Artikel 28 und Deskwoots Auftragsverarbeitungsvereinbarung, beantwortet.

Was ist eine Auftragsverarbeitungsvereinbarung?

Eine Auftragsverarbeitungsvereinbarung (AVV oder DPA) ist ein gesetzlich vorgeschriebener Vertrag unter Artikel 28 DSGVO zwischen einem Verantwortlichen (dir) und einem Auftragsverarbeiter (Deskwoot). Sie definiert welche personenbezogenen Daten der Auftragsverarbeiter verarbeitet, wie er diese Daten schützen muss und welche Rechte du hast, inklusive Audit, Löschung und Meldung bei Datenpannen.

Brauche ich eine AVV mit Deskwoot?

Ja, wenn du personenbezogene Daten von EU Bürgern über Deskwoot verarbeitest, was fast immer zutrifft weil jede Kunden E-Mail, jeder Chat und jeder Kontakteintrag dazu zählt. DSGVO Artikel 28 verlangt eine unterzeichnete AVV zwischen dir (Verantwortlicher) und Deskwoot (Auftragsverarbeiter) bevor dieser Datenfluss beginnt.

Wie unterzeichne ich die Deskwoot AVV?

Unterzeichne elektronisch direkt in deinem Deskwoot Dashboard. Öffne Einstellungen > Rechtliches > Auftragsverarbeitungsvereinbarung, fülle deine Firmendaten aus, klicke auf Unterzeichnen, und du erhältst sofort eine gegengezeichnete PDF. Der ganze Vorgang dauert unter einer Minute. Keine E-Mail-Schleife, kein DocuSign, kein dreitägiges Warten auf die Deskwoot Gegenzeichnung.

Ist Deskwoot DSGVO-konform?

Ja. Deskwoot verarbeitet Daten unter der DSGVO, speichert Kundendaten ausschließlich in EU Rechenzentren, verschlüsselt Daten bei der Übertragung (TLS 1.2+) und im Ruhezustand, führt jährliche Penetrationstests durch und ermöglicht jedem Account Artikel 28 AVV, Datenexport und Löschanträge direkt aus dem Dashboard.

Wo werden Deskwoot Daten gespeichert?

Seit der EU Migration im April 2026 werden alle Kundendaten in EU Rechenzentren (Niederlande Region) gespeichert. Das umfasst Konversationen, Nachrichten, Anhänge, Kontakte, Account Daten und Backups. Keine Kundendaten verlassen die EU Region zur Speicherung, und die Verarbeitung findet in der selben Region statt.

Wer ist die juristische Person hinter Deskwoot?

Deskwoot wird von Neltacore LLC betrieben, einer Limited Liability Company aus Wyoming (USA). Trotz US-amerikanischer Rechtsform liegen alle Kundendaten in EU Rechenzentren unter EU Jurisdiktion für Speicherung und Verarbeitung, mit der DSGVO Artikel 28 AVV die das Verhältnis Verantwortlicher zu Auftragsverarbeiter abdeckt.