Auftragsverarbeitungsvertrag (AVV)

zwischen dem Kunden als Verantwortlichem im Sinne des Art. 4 Nr. 7 DSGVO (nachfolgend „Auftraggeber“) und

Ersin Kurt
EVA Digital (in Gründung)
Lütgendortmunder Hellweg 16
44388 Dortmund
E-Mail: kontakt@digitalisierungsstube.de

als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO (nachfolgend „Auftragnehmer“).

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand dieses Auftragsverarbeitungsvertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „EVA — Digitaler Versicherungsbegleiter“.

1.2 Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages (SaaS-Nutzungsvertrag gemäß den AGB). Dieser AVV endet automatisch mit Beendigung des Hauptvertrages, unbeschadet der in Ziffer 10 geregelten Löschpflichten.

2. Art und Zweck der Verarbeitung

2.1 Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung und Verwaltung von Kundenstammdaten der Endkunden des Auftraggebers;
• Erfassung, Speicherung und Auswertung von Check-in-Antworten zu Lebensveränderungen;
• Analyse der Check-in-Daten durch die hybride Regelengine zur Ableitung versicherungsrelevanter Handlungsanlässe;
• Erstellung von Zusammenfassungen und Priorisierungen mittels KI-Unterstützung (nur mit anonymisierten Daten);
• Generierung IDD-konformer Beratungsdokumentationen als PDF;
• Versand von Einladungen, Erinnerungen und Benachrichtigungen per E-Mail und Push-Notification.

2.2 Zweck der Verarbeitung ist die Unterstützung des Auftraggebers bei der proaktiven Erkennung versicherungsrelevanter Lebensveränderungen seiner Bestandskunden und der Ableitung priorisierter Handlungsanlässe.

3. Art der personenbezogenen Daten

3.1 Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

• Stammdaten: Name, Vorname, Anrede, Geburtsdatum
• Kontaktdaten: E-Mail-Adresse, Telefonnummer, Anschrift
• Familienverhältnisse: Familienstand, Anzahl und Alter der Kinder, Veränderungen im Familienstand (Heirat, Scheidung, Nachwuchs)
• Berufsdaten: Berufsbezeichnung, Beschäftigungsstatus, Arbeitgeberwechsel, Selbstständigkeit
• Einkommensverhältnisse: Einkommenskategorien (Bereiche, keine exakten Beträge), wesentliche Veränderungen
• Wohnsituation: Wohnform (Miete/Eigentum), Umzug, Immobilienerwerb
• Gesundheitsindikatoren:Ausschließlich als allgemeine Risikohinweise (z. B. „Gesundheitsveränderung gemeldet“), keine Diagnosen, keine Gesundheitsdaten im Sinne des Art. 9 DSGVO. Der Auftraggeber stellt sicher, dass über die Check-ins keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO erhoben werden.
• Nutzungsdaten: Zeitpunkt und Häufigkeit der Check-in-Teilnahme, Interaktionen mit der Plattform

4. Kategorien betroffener Personen

Die betroffenen Personen umfassen:

• Endkunden (Versicherungsnehmer): Bestandskunden des Auftraggebers, die an den Check-ins über die EVA-PWA teilnehmen.
• Mitarbeiter des Auftraggebers: Nutzer des Makler-Dashboards (Makler, Mitarbeiter des Maklerbüros).

5. Pflichten des Auftragnehemers (Auftragsverarbeiter)

5.1 Der Auftragnehmer verpflichtet sich:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist nach Unionsrecht oder dem Recht des Mitgliedstaats hierzu verpflichtet;
• sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO);
• die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (vgl. Ziffer 8);
• den Auftraggeber bei der Erfüllung der Betroffenenrechte nach Art. 15–22 DSGVO zu unterstützen (vgl. Ziffer 9);
• den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO zu unterstützen;
• den Auftraggeber unverzüglich zu informieren, falls eine Weisung nach Auffassung des Auftragnehmers gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

5.2 Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO). Die Benachrichtigung erfolgt innerhalb von 24 Stunden nach Bekanntwerden.

6. Pflichten des Auftraggebers (Verantwortlicher)

6.1 Der Auftraggeber ist als Verantwortlicher verpflichtet:

• die Rechtmäßigkeit der Datenverarbeitung sicherzustellen und die erforderliche Rechtsgrundlage (z. B. Einwilligung, berechtigtes Interesse, Vertragserfüllung) zu gewährleisten;
• die erforderlichen Einwilligungen seiner Endkunden für die Verarbeitung über EVA einzuholen;
• seine Endkunden ordnungsgemäß über die Datenverarbeitung zu informieren (Art. 13, 14 DSGVO);
• sicherzustellen, dass über die Check-ins keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO erhoben werden;
• die Weisungen an den Auftragnehmer in Textform zu erteilen.

7. Unterauftragsverarbeiter

7.1 Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf Unterauftragsverarbeiter mindestens 30 Kalendertage im Voraus. Der Auftraggeber hat das Recht, gegen die Hinzuziehung eines neuen Unterauftragsverarbeiters innerhalb von 14 Tagen nach Information Einspruch zu erheben.

7.2 Zum Zeitpunkt des Abschlusses dieses AVV werden folgende Unterauftragsverarbeiter eingesetzt:

7.3 Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen einhalten wie in diesem AVV festgelegt.

8. Technische und Organisatorische Maßnahmen (TOMs)

8.1 Der Auftragnehmer ergreift gemäß Art. 32 DSGVO folgende technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten:

a) Verschlüsselung

• Transportverschlüsselung: TLS 1.2+ für sämtliche Datenübertragungen
• Verschlüsselung ruhender Daten: AES-256 für die Datenbankebene (Supabase)
• HTTPS-Erzwingung für alle API-Endpunkte und Webanwendungen

b) Zugriffskontrolle

• Row-Level Security (RLS) auf Datenbankebene: Mandantenisolierung durch tenant_id-basierte Policies
• JWT-basierte Authentifizierung mit kurzen Token-Laufzeiten
• Rollenbasiertes Zugriffskonzept (Admin, Makler, Mitarbeiter)
• Magic-Link-Authentifizierung für Endkunden (passwortlos, zeitlich begrenzt)

c) Pseudonymisierung

• Interne Verarbeitung über UUIDs statt Klarnamen
• Anonymisierung von Daten vor Übermittlung an KI-Dienstleister

d) Verfügbarkeit und Belastbarkeit

• Automatische Backups der Datenbank (Supabase, tägliche Point-in-Time-Recovery)
• Redundante Infrastruktur über Vercel Edge Network
• Uptime-Monitoring und automatische Alarmierung
• Disaster-Recovery-Plan mit definierten RTOs und RPOs

e) Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Überprüfung der Wirksamkeit der TOMs
• Fehlerüberwachung durch Sentry (EU Data Center)
• Protokollierung von Zugriffen auf personenbezogene Daten

9. Rechte der betroffenen Personen

9.1 Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Betroffenenrechte gemäß Art. 15–22 DSGVO, insbesondere:

• Auskunftsrecht (Art. 15): Export der zu einer betroffenen Person gespeicherten Daten in maschinenlesbarem Format
• Recht auf Berichtigung (Art. 16): Korrektur unrichtiger Daten auf Weisung des Auftraggebers
• Recht auf Löschung (Art. 17): Löschung der Daten einer betroffenen Person auf Weisung des Auftraggebers
• Recht auf Datenübertragbarkeit (Art. 20): Export der Daten in einem strukturierten, gängigen und maschinenlesbaren Format (CSV/JSON)
• Recht auf Einschränkung (Art. 18): Sperrung der Verarbeitung einzelner Datensätze auf Weisung des Auftraggebers

9.2 Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn sich eine betroffene Person direkt an den Auftragnehmer wendet. Die Beantwortung erfolgt durch den Auftraggeber.

10. Löschung und Rückgabe der Daten

10.1 Nach Beendigung des Hauptvertrages stellt der Auftragnehmer dem Auftraggeber sämtliche verarbeiteten personenbezogenen Daten für einen Zeitraum von 30 Kalendertagen zum Export in einem gängigen maschinenlesbaren Format (CSV/JSON) zur Verfügung.

10.2 Spätestens 90 Kalendertage nach Vertragsende löscht der Auftragnehmer sämtliche personenbezogenen Daten unwiderruflich, einschließlich aller Kopien, Backups und Protokolle, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

10.3 Der Auftragnehmer bestätigt die vollständige Löschung auf Verlangen des Auftraggebers in Textform.

10.4 Gesetzliche Aufbewahrungspflichten (z. B. handels- oder steuerrechtliche Pflichten) gehen der Löschpflicht vor. In diesem Fall wird die Verarbeitung auf die Aufbewahrung beschränkt und der Auftraggeber hierüber informiert.

11. Kontrolle und Audit

11.1 Der Auftraggeber hat das Recht, die Einhaltung der in diesem AVV festgelegten Pflichten sowie der technischen und organisatorischen Maßnahmen zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO).

11.2 Audits sind mit einer Vorankündigungsfrist von mindestens 30 Kalendertagen in Textform anzukündigen. Der Auftragnehmer stellt die für die Prüfung erforderlichen Informationen und Unterlagen zur Verfügung.

11.3 Audits finden während der üblichen Geschäftszeiten statt und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen.

11.4 Der Auftragnehmer kann alternativ aktuelle Zertifizierungen, Audit-Berichte oder Testate eines unabhängigen Sachverständigen als Nachweis vorlegen.

11.5 Die Kosten des Audits trägt der Auftraggeber, es sei denn, das Audit deckt wesentliche Verstöße des Auftragnehmers gegen diesen AVV auf.

12. Haftung

12.1 Die Haftung der Parteien richtet sich nach den Regelungen der AGB (Ziffer 9 der AGB — Allgemeine Geschäftsbedingungen), soweit in diesem AVV nicht abweichend geregelt.

12.2 Jede Partei haftet gegenüber betroffenen Personen gemäß Art. 82 DSGVO für den gesamten Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung entstanden ist. Im Innenverhältnis haftet jede Partei für den Anteil am Schaden, der auf ihre Verantwortung entfällt.

12.3 Der Auftragnehmer haftet für Schäden, die durch eine nicht den speziell dem Auftragsverarbeiter auferlegten Pflichten der DSGVO entsprechende Verarbeitung oder eine Verarbeitung außerhalb oder entgegen rechtmäßigen Weisungen des Auftraggebers verursacht werden.

13. Schlussbestimmungen

13.1 Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

13.2 Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

13.3 Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Dortmund, soweit gesetzlich zulässig.

13.4 Dieser AVV ist Bestandteil des Hauptvertrages (AGB) und geht bei Widersprüchen in Bezug auf den Datenschutz den Regelungen der AGB vor.