AskSensei← Zurück

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Abs. 3 DSGVO

Stand: März 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten zwischen dem Nutzer der Plattform AskSensei (nachfolgend "Verantwortlicher") und der Musche Ventures GmbH (nachfolgend "Auftragsverarbeiter").

Der AVV ist Bestandteil des Nutzungsvertrages und tritt mit Abschluss des Nutzungsvertrages in Kraft.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform AskSensei — der Process Learning Platform für Unternehmen und Teams.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrages.

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Prozess- und Aufgabendaten
  • Speicherung und Verwaltung von Nutzer- und Teamdaten
  • Verarbeitung im Rahmen der Kommunikation (E-Mail-Versand, Benachrichtigungen)
  • Erstellung von Berichten und Analysen
  • Technische Bereitstellung und Wartung der Plattform

(2) Der Zweck der Verarbeitung ist die Bereitstellung der vertraglich vereinbarten Plattform-Funktionen.

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Kontaktdaten (Name, Adresse, E-Mail, Telefon)
  • Kommunikationsdaten (E-Mails, Notizen, Protokolle)
  • Vertragsdaten (Abrechnungsdaten, Vertragsdaten)
  • Prozessbezogene Daten (Aufgaben, Checklisten, Fortschrittsdaten)
  • Nutzungsdaten (Login-Zeiten, Aktivitäten in der Plattform)

§ 4 Kategorien betroffener Personen

Von der Verarbeitung sind folgende Personengruppen betroffen:

  • Mitarbeiter des Verantwortlichen
  • Team-Mitglieder und Nutzer der Plattform
  • Geschäftspartner und Dienstleister

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

(2) Der Auftragsverarbeiter gewährleistet, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.

(3) Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, insbesondere:

  • Verschlüsselung der Datenübertragung (TLS 1.3)
  • Verschlüsselung der gespeicherten Daten
  • Regelmäßige Sicherheitsupdates
  • Zugriffskontrolle und Authentifizierung
  • Regelmäßige Datensicherungen
  • Protokollierung von Zugriffen

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32-36 DSGVO.

(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen.

(2) Aktuelle Unterauftragsverarbeiter:

| Anbieter | Zweck | Standort | |----------|-------|----------| | Supabase Inc. | Datenbank & Authentifizierung | EU (Frankfurt) | | Vercel Inc. | Hosting & CDN | EU | | Stripe Inc. | Zahlungsabwicklung | EU (Irland) | | Resend Inc. | E-Mail-Versand | EU |

(3) Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen bei Unterauftragsverarbeitern. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.

§ 7 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen. Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung.

(2) Inspektionen können nach vorheriger Ankündigung und unter Beachtung von Geheimhaltungspflichten durchgeführt werden.

§ 8 Meldepflichten bei Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über jede Verletzung des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Anzahl betroffener Personen und Datensätze
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen

§ 9 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Der Verantwortliche hat die Möglichkeit, seine Daten vor der Löschung zu exportieren. Die Exportfrist beträgt 30 Tage nach Vertragsende.

(3) Die Löschung wird auf Anfrage schriftlich bestätigt.

§ 10 Übermittlung in Drittländer

(1) Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

(2) Die primäre Datenverarbeitung erfolgt auf Servern innerhalb der Europäischen Union.

(3) Soweit Unterauftragsverarbeiter mit Sitz in den USA eingesetzt werden, erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln oder dem EU-US Data Privacy Framework.

§ 11 Schlussbestimmungen

(1) Änderungen dieses AVV bedürfen der Schriftform.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

Auftragsverarbeiter

Musche Ventures GmbH Hochkamerstr. 63F 47506 Neukirchen-Vluyn

Datenschutzanfragen: datenschutz@asksensei.de