Vertrag zur Auftragsverarbeitung (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) · Stand: [06.07.2026] · Version 1.1
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Dieser Vertrag ist ein eigenständiges Dokument neben den Allgemeinen Geschäftsbedingungen. Er regelt ausschließlich Verarbeitungen personenbezogener Daten, die der Auftragnehmer im Auftrag und nach Weisung des Auftraggebers durchführt. Die Generierung und Vorqualifizierung von Kontakten bis zur Übergabe an den Auftraggeber erfolgt in eigener datenschutzrechtlicher Verantwortlichkeit des Auftragnehmers (Übermittlung zwischen Verantwortlichen) und ist nicht Gegenstand dieses Vertrages.
zwischen dem Kunden gemäß Hauptvertrag — nachfolgend „Auftraggeber" / „Verantwortlicher" —
und Nick Eibl, handelnd unter „blnck systems", Wendelinusstraße 17, 63579 Freigericht, USt-IdNr. DE365439089 — nachfolgend „Auftragnehmer" / „Auftragsverarbeiter".
§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung
(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der im Hauptvertrag vereinbarten Leistungen, soweit der Auftragnehmer dabei weisungsgebunden tätig wird (insbesondere Betrieb von Automatisierungen, Follow-up sowie optionale CRM-Pflege und Reporting mit Daten des Auftraggebers).
(2) Art und Zweck der Verarbeitung: Erbringung der vertraglich vereinbarten Leistungen, insbesondere Kontaktverwaltung, Kommunikation, Nachfass-Prozesse und Auswertung im Auftrag des Auftraggebers. Die Verarbeitung umfasst insbesondere das Erheben, Erfassen, Ordnen, Speichern, Verändern, Auslesen, Abfragen, Verwenden, Übermitteln und Löschen.
(3) Die Generierung und Vorqualifizierung von Kontakten bis zur Übergabe an den Auftraggeber erfolgt in eigener datenschutzrechtlicher Verantwortlichkeit des Auftragnehmers und ist nicht Gegenstand dieses Vertrages.
(4) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages, sofern sich aus diesem Vertrag oder gesetzlichen Aufbewahrungspflichten nichts anderes ergibt.
(5) Die Verarbeitung findet grundsätzlich in Mitgliedstaaten der Europäischen Union oder in Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland setzt die Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO voraus (§ 5 Abs. 4).
§ 2 Art der Daten und Kategorien betroffener Personen
(1) Art der verarbeiteten personenbezogenen Daten:
- Kontakt- und Stammdaten (z. B. Name, Anschrift, Telefonnummer, E-Mail-Adresse);
- kommunikations- und vorgangsbezogene Daten (z. B. Gesprächs- und Terminstatus, Qualifizierungsergebnis, Notizen, Kommunikationsverlauf sowie Gesprächstranskripte; eine Tonaufzeichnung der Gespräche erfolgt nicht);
- objekt- und vermarktungsbezogene Angaben (z. B. Objektart und -lage, ungefähre Wertvorstellung, Verkaufsmotivation und -horizont);
- kampagnen- und reichweitenbezogene Metadaten (z. B. Anzeigen-/Kampagnenbezug, Zeitstempel, technische Verbindungsdaten).
(2) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung. Der Auftraggeber übermittelt solche Daten nicht an den Auftragnehmer.
(3) Kategorien betroffener Personen: Interessenten und Kontakte des Auftraggebers (insbesondere Immobilieneigentümer) sowie ggf. Ansprechpartner und Mitarbeiter des Auftraggebers.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen des Hauptvertrages und nach dokumentierten Weisungen des Auftraggebers, es sei denn, er ist nach dem Recht der Union oder eines Mitgliedstaats zur Verarbeitung verpflichtet; in diesem Fall teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO). Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich; er ist berechtigt, die Ausführung der Weisung bis zu deren Bestätigung oder Änderung auszusetzen.
(2) Der Auftragnehmer verpflichtet die zur Verarbeitung befugten Personen auf Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO). Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der jeweiligen Tätigkeit fort.
(3) Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 1 und hält sie dem Stand der Technik entsprechend aufrecht.
(4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie — unter Berücksichtigung der ihm zur Verfügung stehenden Informationen — bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (insbesondere Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung und vorherige Konsultation).
(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich, in der Regel innerhalb von 48 Stunden nach Kenntniserlangung, über Verletzungen des Schutzes personenbezogener Daten, die Daten aus diesem Auftragsverhältnis betreffen (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit verfügbar; Informationen können schrittweise nachgereicht werden.
(6) Der Auftragnehmer berichtigt, löscht oder schränkt die Verarbeitung der auftragsgegenständlichen Daten nur nach dokumentierter Weisung des Auftraggebers ein, soweit keine gesetzliche Pflicht entgegensteht.
(7) Der Auftragnehmer stellt dem Auftraggeber alle zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen nach Maßgabe von § 9 (Art. 28 Abs. 3 lit. h DSGVO).
(8) Der Auftragnehmer benennt keinen Datenschutzbeauftragten, da die gesetzlichen Voraussetzungen (Art. 37 DSGVO, § 38 BDSG) derzeit nicht vorliegen. Ansprechpartner für Datenschutzfragen ist: Nick Eibl, eibl@blnck-systems.com. Ändern sich die Voraussetzungen, teilt der Auftragnehmer die Benennung unaufgefordert mit.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber ist im Anwendungsbereich dieses Vertrages für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte allein verantwortlich (Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO).
(2) Der Auftraggeber erteilt Weisungen grundsätzlich in Textform; mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Der Auftraggeber benennt dem Auftragnehmer die weisungsbefugten Personen. Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, können als Änderungsverlangen einen Mehraufwand begründen, der nach dem Hauptvertrag zu vergüten ist.
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
§ 5 Unterauftragsverarbeiter
(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine schriftliche Genehmigung zur Hinzuziehung von Unterauftragsverarbeitern (Art. 28 Abs. 2 Satz 1 DSGVO). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter ergeben sich aus Anlage 2.
(2) Der Auftragnehmer informiert den Auftraggeber in Textform über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern, und zwar mindestens vier Wochen vor deren Einsatz. Der Auftraggeber kann der Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb von vier Wochen ab Zugang der Information in Textform widersprechen (Art. 28 Abs. 2 Satz 2 DSGVO). Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt. Bei berechtigtem Widerspruch kann der Auftragnehmer die Leistung ohne den betroffenen Unterauftragsverarbeiter anbieten; ist ihm dies nicht zumutbar oder möglich, steht beiden Parteien ein außerordentliches Kündigungsrecht hinsichtlich der betroffenen Leistung zu.
(3) Der Auftragnehmer verpflichtet Unterauftragsverarbeiter durch Vertrag oder ein anderes Rechtsinstrument nach Art. 28 Abs. 4 DSGVO auf dieselben Datenschutzpflichten, wie sie in diesem Vertrag festgelegt sind. Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters.
(4) Soweit Unterauftragsverarbeiter personenbezogene Daten außerhalb der EU/des EWR verarbeiten, stellt der Auftragnehmer geeignete Garantien nach Art. 44 ff. DSGVO sicher, insbesondere EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) nebst ggf. erforderlicher ergänzender Maßnahmen und — soweit einschlägig — eine gültige Zertifizierung des Empfängers unter dem EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023). Die für den jeweiligen Dienst maßgeblichen Garantien sind in Anlage 2 ausgewiesen.
§ 6 Technische und organisatorische Maßnahmen (TOM)
(1) Der Auftragnehmer setzt die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO um und hält sie während der Vertragslaufzeit dem Stand der Technik entsprechend aufrecht.
(2) Die Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragnehmer darf alternative adäquate Maßnahmen umsetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren und dem Auftraggeber auf Anfrage mitzuteilen.
§ 7 Betroffenenrechte
(1) Wendet sich eine betroffene Person mit Anliegen zur Berichtigung, Löschung, Auskunft oder Einschränkung unmittelbar an den Auftragnehmer, leitet dieser das Anliegen unverzüglich an den Auftraggeber weiter und unterstützt diesen bei der Bearbeitung im Rahmen seiner Möglichkeiten. Der Auftragnehmer erteilt betroffenen Personen keine Auskünfte über auftragsgegenständliche Daten ohne vorherige Weisung des Auftraggebers, soweit er hierzu nicht gesetzlich verpflichtet ist.
§ 8 Meldung von Datenschutzverletzungen
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO und übermittelt unverzüglich alle hierfür erforderlichen Informationen. § 3 Abs. 5 gilt entsprechend. Der Auftragnehmer dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich der Umstände, Auswirkungen und Abhilfemaßnahmen.
§ 9 Kontrollrechte
(1) Der Auftraggeber kann sich vor Beginn und während der Verarbeitung von der Einhaltung der getroffenen Maßnahmen überzeugen, insbesondere durch Anforderung aktueller Nachweise, Selbstauskünfte, anerkannter Zertifizierungen oder Prüfberichte.
(2) Vor-Ort-Kontrollen sind mit angemessener Vorankündigung von mindestens 14 Tagen, während der üblichen Geschäftszeiten, ohne unverhältnismäßige Betriebsstörung und — außer bei konkretem Anlass (insbesondere einer Datenschutzverletzung oder behördlichen Anordnung) — höchstens einmal pro Kalenderjahr zulässig. Beauftragte Prüfer dürfen keine unmittelbaren Wettbewerber des Auftragnehmers sein und sind zur Vertraulichkeit zu verpflichten.
(3) Der Auftragnehmer kann für die Unterstützung von Kontrollen, die über die Bereitstellung vorhandener Nachweise hinausgehen, eine angemessene Vergütung verlangen, sofern die Kontrolle nicht durch einen vom Auftragnehmer zu vertretenden Anlass veranlasst ist.
§ 10 Löschung und Rückgabe
(1) Nach Beendigung der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers alle auftragsgegenständlichen personenbezogenen Daten oder gibt sie in einem gängigen, maschinenlesbaren Format zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).
(2) Die Löschung bzw. Rückgabe erfolgt innerhalb von 30 Tagen nach Beendigung, sofern der Auftraggeber keine abweichende Weisung erteilt. Der Auftragnehmer bestätigt die Löschung auf Verlangen in Textform.
(3) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, darf der Auftragnehmer entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren.
§ 11 Haftung
(1) Die Haftung der Parteien gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO. Im Innenverhältnis tragen die Parteien einen Schaden im Verhältnis ihres jeweiligen Verursachungs- und Verantwortungsbeitrags. Haftungsbeschränkungen des Hauptvertrages bleiben im Innenverhältnis unberührt, soweit datenschutzrechtlich zulässig; gegenüber betroffenen Personen gelten sie nicht.
§ 12 Schlussbestimmungen
(1) Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag/den AGB gehen in datenschutzrechtlichen Fragen die Regelungen dieses Vertrages vor.
(2) Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages; er endet mit vollständiger Erfüllung der Pflichten nach § 10.
(3) Änderungen und Ergänzungen bedürfen mindestens der Textform. Es gilt das Recht der Bundesrepublik Deutschland.
(4) Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; es gelten die gesetzlichen Vorschriften.
Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragnehmer setzt unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken folgende Maßnahmen um:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- *Zugangskontrolle:* individuelle, personenbezogene Benutzerkonten mit starken Passwörtern und Zwei-Faktor-Authentifizierung; Passwort-Manager; automatische Bildschirmsperren; Clean-Desk-Grundsatz.
- *Zugriffskontrolle:* rollenbasierte Zugriffsrechte nach dem Need-to-know-Prinzip; regelmäßige Überprüfung und zeitnaher Entzug nicht mehr benötigter Berechtigungen.
- *Zutrittskontrolle:* Verarbeitung ausschließlich über gesicherte Endgeräte; vollständige Festplatten-/Geräteverschlüsselung; kein unbeaufsichtigter Zugang Dritter zu Arbeitsmitteln.
- *Pseudonymisierung:* soweit für den Verarbeitungszweck möglich, Verarbeitung unter Verwendung von Kennungen statt Klarnamen (z. B. Lead-IDs in Auswertungen).
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- *Weitergabekontrolle:* Transportverschlüsselung (TLS) bei jeder Datenübertragung; Beschränkung der Datenweitergabe auf vertraglich beauftragte Empfänger; keine Nutzung privater, unverwalteter Speicherorte.
- *Eingabekontrolle:* Protokollierung sicherheitsrelevanter Zugriffe und Änderungen, soweit von den eingesetzten Diensten bereitgestellt; Nachvollziehbarkeit von Statusänderungen über Zeitstempel.
- Trennung von Test- und Produktivdaten.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
- Nutzung etablierter Cloud-Anbieter mit redundanter Infrastruktur und regelmäßiger Datensicherung;
- dokumentierter Wiederherstellungsprozess (Recovery);
- zeitnahe Einspielung sicherheitsrelevanter Updates auf allen Endgeräten und in allen verwalteten Diensten.
4. Trennungsgebot
- logische Trennung der Daten verschiedener Auftraggeber (mandantengetrennte Ablagen, getrennte Arbeitsbereiche/Workflows je Kunde).
5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
- regelmäßige Kontrolle und Bewertung der Wirksamkeit der Maßnahmen (mindestens jährlich sowie anlassbezogen);
- sorgfältige Auswahl und vertragliche Verpflichtung von Unterauftragsverarbeitern nach Datenschutzkriterien;
- Durchführung einer Datenschutz-Folgenabschätzung, soweit erforderlich;
- Verarbeitung nur auf dokumentierte Weisung; Incident-Response-Prozess für Datenschutzvorfälle.
6. Hosting und Serverstandorte
- Verarbeitung vorrangig in Rechenzentren innerhalb der EU/des EWR, soweit von den eingesetzten Diensten angeboten;
- bei Verarbeitung außerhalb der EU/des EWR Absicherung durch EU-Standardvertragsklauseln, ggf. ergänzende Maßnahmen sowie — soweit einschlägig — Zertifizierung unter dem EU-U.S. Data Privacy Framework gemäß Anlage 2.
Anlage 2 — Unterauftragsverarbeiter
Zum Zeitpunkt des Vertragsschlusses werden folgende Unterauftragsverarbeiter eingesetzt:
| Unterauftragsverarbeiter | Sitz | Leistung | Verarbeitete Daten | Verarbeitungsort | Garantie bei Drittlandtransfer |
|---|---|---|---|---|---|
| Meta Platforms Ireland Ltd. | Irland | Schaltung und Auslieferung von Werbeanzeigen | Kontakt-, Interaktions- und Kampagnendaten | EU, ggf. USA | EU-Standardvertragsklauseln; EU-U.S. Data Privacy Framework |
| Google Ireland Ltd. | Irland | Google Ads; Datenablage und Vorgangsverwaltung (Google Workspace, insbes. Google Sheets) | Kontakt-, Vorgangs-, Kampagnen- und Kommunikationsdaten | EU, ggf. USA | EU-Standardvertragsklauseln; EU-U.S. Data Privacy Framework |
| Vapi, Inc. | USA | Plattform für KI-Sprachagenten (Orchestrierung der Anruf-Pipeline, Gesprächssteuerung) | Kontakt-, Gesprächs- und Vorgangsdaten, Gesprächstranskripte | USA; EU-Deployment, soweit konfiguriert | EU-Standardvertragsklauseln |
| Twilio Inc. | USA | Telefonie-Infrastruktur (Rufnummern, Anrufzustellung) | Rufnummern, Verbindungs-/Verkehrsdaten, Audio-Streams (transient) | USA, ggf. EU | EU-Standardvertragsklauseln; EU-U.S. Data Privacy Framework |
| ElevenLabs Inc. | USA | Sprachsynthese (Text-to-Speech) | zu synthetisierende Gesprächsinhalte | USA | EU-Standardvertragsklauseln; EU-U.S. Data Privacy Framework (US-Entität) |
| OpenAI Ireland Ltd. | Irland (EWR-Vertragsentität) | Sprachmodell-Verarbeitung der Gesprächsführung (GPT-Modelle via API) | Gesprächsinhalte/-transkripte, Vorgangsdaten | EU, ggf. USA | EU-Standardvertragsklauseln (keine DPF-Zertifizierung von OpenAI; Vertragspartner ist die irische Entität) |
| n8n GmbH (n8n Cloud) | Deutschland/EU | Orchestrierung und Automatisierung der Workflows | Kontakt- und Vorgangsdaten | EU | — (kein Drittlandtransfer) |
| Calendly LLC | USA | Terminbuchung und -verwaltung, soweit für Termine des Auftraggebers eingesetzt | Kontakt- und Termindaten | USA, ggf. EU | EU-Standardvertragsklauseln; EU-U.S. Data Privacy Framework |
| IONOS SE | Deutschland | E-Mail-Postfach und E-Mail-Versand | Kontakt- und Kommunikationsdaten | Deutschland/EU | — (kein Drittlandtransfer) |
| CRM- bzw. gesonderter E-Mail-Versanddienst | — | nur bei gesonderter Vereinbarung mit dem Auftraggeber | Kontakt- und Kommunikationsdaten | wird vor Einsatz benannt | wird vor Einsatz benannt |
Die eingesetzten KI-Dienste werden über API- bzw. Business-Konditionen genutzt, bei denen eine Nutzung der übermittelten Daten zum Training von KI-Modellen durch den jeweiligen Anbieter vertraglich ausgeschlossen bzw. deaktiviert ist.
Die jeweils aktuelle, vollständige Liste der Unterauftragsverarbeiter einschließlich ladungsfähiger Anschriften und konkreter Verarbeitungsorte wird dem Auftraggeber auf Anfrage in Textform zur Verfügung gestellt und bei Änderungen gemäß § 5 mitgeteilt.