Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:
- Auftraggeber: Der Kunde, der sich bei ClientPort registriert und ein Portal erstellt (nachfolgend „Verantwortlicher")
- Auftragnehmer: Nils Hoffmann, Geierstraße 14, 22305 Hamburg (nachfolgend „Auftragsverarbeiter" oder „ClientPort")
Dieser AVV wird automatisch mit Erstellung eines Portals bei ClientPort geschlossen und ergänzt die Allgemeinen Geschäftsbedingungen (AGB).
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der ClientPort-Plattform.
(2) Die Verarbeitung beginnt mit der Erstellung des Portals und endet mit der vollständigen Löschung aller Daten nach Beendigung des Vertragsverhältnisses.
(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen Verantwortlichem und Auftragsverarbeiter.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Speicherung und Verwaltung von Nutzerdaten der Endkunden des Verantwortlichen
- Speicherung und Bereitstellung von Dokumenten
- Verwaltung und Speicherung von Tickets und Kommentaren
- Versand von E-Mail-Benachrichtigungen im Auftrag des Verantwortlichen
- Bereitstellung der technischen Infrastruktur für das Kundenportal
Der Zweck der Verarbeitung ist die Erbringung der vertraglich vereinbarten Dienstleistungen gemäß den Nutzungsbedingungen von ClientPort.
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
- Stammdaten (Name, E-Mail-Adresse, Telefonnummer)
- Authentifizierungsdaten (verschlüsselte Passwörter)
- Kommunikationsdaten (Tickets, Kommentare, Nachrichten)
- Dokumente und deren Metadaten
- Nutzungsdaten (Anmeldezeitpunkte, Lesestatus)
- Technische Daten (IP-Adressen in Server-Logs)
§ 4 Kategorien betroffener Personen
Von der Verarbeitung betroffen sind:
- Endkunden des Verantwortlichen (Portalnutzer)
- Mitarbeiter des Verantwortlichen mit Portalzugang
- Ansprechpartner bei Kundenunternehmen des Verantwortlichen
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.
(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherheit der Verarbeitung.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32-36 DSGVO.
(5) Nach Beendigung des Auftrags löscht der Auftragsverarbeiter alle personenbezogenen Daten, sofern nicht eine Verpflichtung zur Speicherung besteht.
(6) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
§ 6 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen.
(2) Folgende Unterauftragsverarbeiter werden zum Zeitpunkt des Vertragsschlusses eingesetzt:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Vercel Inc. | Website-Hosting | Frankfurt (EU) |
| Supabase Inc. | Datenbank, Auth, Storage | Frankfurt (EU) |
| Brevo GmbH | E-Mail-Versand | Deutschland (EU) |
| Stripe Payments Europe | Zahlungsabwicklung | Irland (EU) |
| BunnyWay d.o.o. | Schriftarten (CDN) | Slowenien (EU) |
(3) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 14 Tage im Voraus über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann gegen diese Änderungen innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund Einspruch erheben. Erfolgt kein Einspruch, gilt die Änderung als genehmigt.
§ 7 Unterstützung bei Betroffenenrechten
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte nach Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
§ 8 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:
Vertraulichkeit
- Zutrittskontrolle: Serverstandorte mit physischer Zugangsbeschränkung (Rechenzentren)
- Zugangskontrolle: Authentifizierung mit verschlüsselten Passwörtern
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (RLS)
- Trennungskontrolle: Mandantentrennung auf Datenbankebene
Integrität
- Weitergabekontrolle: TLS-Verschlüsselung aller Datenübertragungen
- Eingabekontrolle: Protokollierung von Änderungen (Audit-Logs)
Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle: Redundante Serverinfrastruktur
- Rasche Wiederherstellbarkeit: Tägliche Backups
Verfahren zur regelmäßigen Überprüfung
- Datenschutz-Management: Regelmäßige Überprüfung der Maßnahmen
- Incident-Response-Management: Prozess zur Meldung von Datenschutzverletzungen
§ 9 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wurde.
(2) Die Meldung enthält mindestens:
- Eine Beschreibung der Art der Verletzung
- Die Kategorien und ungefähre Anzahl der betroffenen Personen
- Die wahrscheinlichen Folgen der Verletzung
- Die ergriffenen oder vorgeschlagenen Maßnahmen
§ 10 Kontrollrechte
(1) Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(2) Da der Auftragsverarbeiter seine Leistungen fast ausschließlich über Cloud-Infrastrukturanbieter (Subunternehmer wie Vercel, Supabase) erbringt, werden Vor-Ort-Kontrollen in Rechenzentren durch das Vorlegen aktueller Testate, Berichte oder Zertifizierungen (z. B. SOC 2, ISO 27001) der jeweiligen Subunternehmer ersetzt.
(3) Vor-Ort-Kontrollen in den Geschäftsräumen des Auftragsverarbeiters sind nur im Einzelfall bei begründetem Verdacht auf Datenschutzverstöße und nach rechtzeitiger schriftlicher Ankündigung (mind. 2 Wochen) zu üblichen Geschäftszeiten möglich. Diese Kontrollen dürfen den Betriebsablauf nicht unverhältnismäßig stören.
§ 11 Schlussbestimmungen
(1) Dieser AVV unterliegt deutschem Recht.
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
Kontakt
Bei Fragen zu diesem AVV wenden Sie sich bitte an:
E-Mail: info@clientport.de
Stand: Dezember 2025 (Version 1.0)