Auftragsverarbeitungsvertrag (AVV)

§ 1 Vertragsparteien

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen:

§ 2 Gegenstand und Dauer der Verarbeitung

Gegenstand der Auftragsverarbeitung ist der Betrieb der Zelos-CRM-Software als Software-as-a-Service (SaaS). Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten zur Bereitstellung der Anwendungsfunktionen. Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung und Verwaltung von Kundenstammdaten
• Verarbeitung von Auftragsdaten, Angeboten und Rechnungen
• Erfassung von Besuchsberichten und Gesprächsnotizen
• Verwaltung von Provisionsdaten
• Bereitstellung eines KI-Assistenten (Weiterleitung an Anthropic API)
• Sprachassistenz per Telefon (Vapi AI — Transkription und Auswertung von Anrufen)
• Zahlungsabwicklung für Abonnements (Stripe)

Zweck: Customer Relationship Management (CRM) für selbstständige Handelsvertreter.

§ 4 Art der personenbezogenen Daten

• Kontaktdaten (Name, E-Mail, Telefon, Adresse)
• Geschäftliche Daten (Aufträge, Angebote, Rechnungen, Provisionen)
• Besuchsberichte und Notizen
• Anmeldedaten (E-Mail, verschlüsseltes Passwort)

Kategorien betroffener Personen: Kunden und Geschäftspartner des Verantwortlichen.

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

• Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
• Vertraulichkeit der verarbeiteten Daten sicherzustellen
• Geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu ergreifen
• Den Verantwortlichen bei der Einhaltung von Betroffenenrechten zu unterstützen
• Nach Vertragsende alle personenbezogenen Daten zu löschen oder zurückzugeben
• Alle erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen zu ermöglichen

§ 6 Technische und organisatorische Maßnahmen (TOM)

• Verschlüsselte Datenübertragung via HTTPS/TLS
• Passwort-Hashing (Supabase Auth)
• Row-Level Security (RLS) für mandantenfähige Datentrennung
• Datenbankhosting in EU-Region (Supabase, Frankfurt)
• Zugriffskontrolle durch Authentifizierung und Autorisierung
• Regelmäßige automatische Backups durch Supabase

§ 7 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen der Verantwortliche hiermit generell zustimmt:

Über den Einsatz neuer Unterauftragsverarbeiter wird der Verantwortliche vorab informiert.

§ 8 Rechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags und der DSGVO durch den Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung).

§ 9 Datenlöschung nach Vertragsende

Nach Kündigung oder Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 10 Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragsverarbeiters, soweit gesetzlich zulässig.