Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Gegenstand des Auftrags ist die Bereitstellung der SaaS-Plattform LeadCheck zur Erfassung, KI-gestützten Bewertung und Verwaltung von Lead-Anfragen durch den Verantwortlichen. Die Vereinbarung beginnt mit Aktivierung des Accounts und gilt für die Dauer des Vertragsverhältnisses.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten von Endkunden (Leads) des Verantwortlichen ausschließlich, um die Funktionen der Plattform bereitzustellen:

• Erfassung und Speicherung der Formular-Eingaben
• Übermittlung an OpenAI zur KI-Analyse (Score, Empfehlungen)
• Versand von Bestätigungs-E-Mails über Resend
• Optional: WhatsApp-Benachrichtigungen über Twilio
• Optional: Versand an einen vom Tenant konfigurierten Webhook
• Bereitstellung des Dashboards inkl. Statistiken und Audit-Log

Kategorien betroffener Personen: Interessenten und Kunden des Verantwortlichen.

Datenarten:

• Stammdaten: Name, E-Mail, Telefon
• Adressdaten: PLZ, Ort, Bundesland, optional Straße
• Inhaltliche Daten: Gebäudedaten, Heizung, Wohnfläche, Ziele etc. (branchenabhängig)
• Bild-Daten: optional vom Endkunden hochgeladene Fotos
• Meta-Daten: IP-Adresse, UTM-Tracking, Zeitstempel

1. Verarbeitung der Daten nur auf dokumentierte Weisung des Verantwortlichen.
2. Verpflichtung der Mitarbeitenden auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
3. Treffen geeigneter technischer und organisatorischer Maßnahmen (TOMs, siehe § 8).
4. Unterstützung des Verantwortlichen bei Betroffenenrechten (Auskunft, Löschung etc.).
5. Unverzügliche Information bei Datenschutz-Verstößen (Art. 33 DSGVO) — Frist: 72 Stunden.
6. Auf Verlangen: Nachweise zur Einhaltung der vereinbarten Pflichten.
7. Rückgabe oder Löschung aller Daten nach Vertragsende (siehe § 10).

Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung zur Beauftragung der im Folgenden aufgeführten Unterauftragnehmer. Über geplante Änderungen wird der Verantwortliche vorab informiert (mindestens 14 Tage Widerspruchsfrist):

• Supabase Inc. — Datenbank-Hosting (EU-Region Frankfurt)
• Vercel Inc. — Web-Hosting / CDN (Global, SCC + DPF)
• OpenAI Ireland Ltd. — KI-Analyse (SCC + DPF)
• Resend Inc. — Transaktions-E-Mails (SCC + DPF)
• Twilio Inc. — WhatsApp-Versand, falls aktiviert (SCC + DPF)
• Stripe Inc. — Zahlungsabwicklung (SCC + DPF)

Mit allen Unterauftragnehmern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bzw. Standardvertragsklauseln (SCC) bei Drittlandtransfer.

• Recht auf Auskunft über Verarbeitungen jederzeit.
• Recht auf Kontrolle (Audit) nach Voranmeldung (mind. 14 Tage).
• Recht zur Erteilung von Einzelweisungen via E-Mail an info@packomedia.de.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit). Im Dashboard stehen dafür folgende Self-Service-Funktionen bereit:

• Excel-Export aller Leads (Art. 20 DSGVO)
• Einzel-Lead-Löschung im Lead-Detail-Dialog
• Account- und Vollständige-Daten-Löschung in den Einstellungen

Der Auftragsverarbeiter trifft insbesondere folgende Maßnahmen:

• Vertraulichkeit: TLS 1.2+ bei Übertragung, AES-256 für sensible Felder (API-Keys), Magic-Link-Auth ohne Passwort-Speicherung.
• Integrität: Audit-Log aller Settings-Änderungen, Webhook-Status-Tracking.
• Verfügbarkeit: Health-Endpoint zur Überwachung, redundante Datenhaltung durch Supabase, automatische Backups (Point-in-Time-Recovery 7 Tage).
• Belastbarkeit: Rate-Limits auf öffentlichen Endpunkten, automatisches Wiederanlaufen via Vercel.
• Zugriffskontrolle: Pro Tenant getrennte Daten, Row-Level-Security in Supabase, separate Magic-Link-Accounts pro Mitarbeitendem.
• Wiederherstellbarkeit: Supabase Point-in-Time-Recovery innerhalb von 7 Tagen.
• Verfahren zur Bewertung: Periodische Sicherheits-Reviews, automatische Dependency-Updates, Sentry-Error-Tracking.

Eine Datenübermittlung in Drittländer (USA) erfolgt nur an Subprozessoren, die nach dem EU-US Data Privacy Framework (DPF) zertifiziert sind oder mit denen Standardvertragsklauseln (SCC, Art. 46 DSGVO) abgeschlossen wurden.

Nach Beendigung des Vertrages werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen gelöscht — sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen (z.B. Rechnungsdaten gemäß § 147 AO: 10 Jahre).

Der Verantwortliche kann jederzeit selbst über das Dashboard (Einstellungen → Account löschen) sämtliche Daten löschen.

Es gilt Art. 82 DSGVO. Eine Haftungsbegrenzung ergibt sich aus dem zugrunde liegenden Hauptvertrag (Allgemeine Geschäftsbedingungen).

Diese Vereinbarung wird durch die fortgesetzte Nutzung der LeadCheck-Plattform konkludent akzeptiert. Bei Widersprüchen zu den AGB hat dieser AV-Vertrag Vorrang in datenschutzrechtlichen Fragen. Gerichtsstand: Wuppertal (Sitz von Packomedia).