Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeiter: Thomas Wahl · Einzelunternehmen, tätig unter BUSINEEDS / lessthinkingmorebeing Ziegelweiherstraße 48, 88427 Bad Schussenried · thomas@busineeds.de Verantwortliche/r (Klient): Die im Onboarding-Formular eingetragenen Stammdaten bilden die rechtsverbindliche Parteibezeichnung. Dieser AVV ergänzt den Lizenz- und Retainervertrag und konkretisiert die datenschutzrechtlichen Pflichten gemäß Art. 28 DSGVO.

Thomas (Auftragsverarbeiter) betreibt im Auftrag des Klienten (Verantwortliche/r) ein KI-gestütztes Business-System auf Basis des BUSINEEDS-Stacks. Im Rahmen dieses Betriebs verarbeitet er personenbezogene Daten von Kunden, Interessenten und Nutzern des Klienten. Laufzeit: Entspricht der Laufzeit des Hauptvertrags.

Kategorien verarbeiteter personenbezogener Daten: • Stammdaten: Name, E-Mail-Adresse • Geburtsdaten: Geburtsdatum, Geburtszeit, Geburtsort (für Human Design Berechnungen) • Kommunikationsdaten: Chat-Verläufe, Transkriptionen, E-Mails • Technische Daten: IP-Adresse, Browser-Typ, Session-Daten, Zeitstempel • Terminbuchungsdaten: Datum, Uhrzeit, Buchungsdetails • Inhaltsdaten: Antworten in Funnels/Interviews, Analysen Kategorien betroffener Personen: Kunden und Interessenten des Klienten (Endnutzer). Verarbeitungszwecke: Betrieb des KI-gestützten Interview-Funnels, HD-Berechnungen, Terminbuchung, CRM, automatisierte Kommunikation, Transkriptionen, Dashboard-Betrieb.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Klienten, sofern nicht anderweitig rechtlich verpflichtet. Weisungen können schriftlich (E-Mail) oder im Rahmen des Hauptvertrags erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Der Auftragsverarbeiter informiert den Klienten unverzüglich, wenn eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

Thomas verpflichtet sich: • Vertraulichkeit: Nur Personen zur Verarbeitung heranzuziehen, die sich zur Vertraulichkeit verpflichtet haben. • TOMs: Die in § 7 festgelegten technischen und organisatorischen Maßnahmen umzusetzen. • Betroffenenrechte: Den Klienten bei Auskunft, Löschung, Berichtigung und Datenübertragbarkeit technisch zu unterstützen. • Datenpannen: Verletzungen innerhalb von 24 Stunden zu melden (Beschreibung, Datenkategorien, betroffene Personen, Folgen, Maßnahmen). • Löschung: Nach Vertragsende alle Daten zu löschen oder zurückzugeben — mit schriftlicher Bestätigung. • Nachweise: Alle erforderlichen Informationen zur Compliance bereitzustellen und Prüfungen zu ermöglichen.

Genehmigte Sub-Auftragsverarbeiter: • Hetzner Online GmbH (Deutschland/EU) — Server-Hosting · Entfällt Drittland • Anthropic PBC (USA) — KI-Sprachmodell Claude API · SCCs, automatisches DPA seit 01.01.2026 • OpenAI Inc. (USA) — KI-Sprachverarbeitung · SCCs, automatisches DPA seit 01.01.2026 • ElevenLabs Inc. (USA) — KI-Sprachsynthese · SCCs • Google LLC (USA) — Workspace (Kalender, E-Mail, Meet) · SCCs, Google Workspace DPA • n8n GmbH (Deutschland/EU) — Workflow-Automatisierung (self-hosted) · Entfällt Drittland Der Auftragsverarbeiter informiert den Klienten über geplante Änderungen mindestens 14 Tage im Voraus. Der Klient kann innerhalb dieser Frist begründet widersprechen.

Vertraulichkeit: • SSH-Zugang nur mit Public-Key-Authentifizierung, keine Passwort-Logins • Minimalprinzip bei Zugriffsrechten • HTTPS/TLS auf allen Verbindungen (Let's Encrypt, automatisch erneuert) • Kritische Bereiche mit HTTP Basic Auth gesichert • Docker-Container-Isolation pro Klient Integrität: • Serverseitige Eingabevalidierung • HTTPS-Verschlüsselung auf allen Endpunkten Verfügbarkeit: • Serverstandort: Hetzner Cloud, Deutschland (Falkenstein/Nürnberg) • Automatischer Container-Neustart bei Absturz • Angestrebte Wiederherstellungszeit (RTO): 4 Stunden Datenschutz by Design: • Datenminimierung: Nur tatsächlich benötigte Daten erhoben • DSGVO-Einwilligung vor Verarbeitung (Cookie Banner, Consent-Gate) • Löschkonzept nach Zweckerfüllung

Soweit Betroffene ihre Rechte (Art. 15–21 DSGVO) gegenüber dem Auftragsverarbeiter geltend machen, leitet dieser die Anfrage unverzüglich weiter. Er handelt nicht selbst auf Betroffenenanfragen, sofern nicht ausdrücklich angewiesen. Technische Unterstützung: Datenexport (CSV/JSON), Löschung einzelner Profile, Auskunft über gespeicherte Datenpunkte.

Bei Vertragsbeendigung werden alle Daten des Klienten innerhalb von 30 Tagen gelöscht oder — sofern gewünscht — als CSV/JSON übergeben. Der Auftragsverarbeiter bestätigt die Löschung schriftlich. Gesetzliche Aufbewahrungspflichten (§ 147 AO, § 257 HGB — bis zu 10 Jahre für steuerrelevante Unterlagen) bleiben unberührt.

Dieser AVV geht in datenschutzrechtlichen Fragen dem Hauptvertrag vor. Änderungen bedürfen der Schriftform. Es gilt deutsches Recht. Gerichtsstand: Bad Schussenried. Salvatorische Klausel: Unwirksame Bestimmungen lassen die Wirksamkeit der übrigen Bestimmungen unberührt.