Auftragsverarbeitungsvertrag (AVV)
Stand: April 2026
Download und Abschluss
Diese Seite enthält die HTML-Fassung unseres Muster-AVV. Für den Vertragsabschluss senden Sie uns bitte eine kurze Nachricht an legal@beacontools.io. Wir stellen Ihnen anschließend eine auf Ihre Firmendaten ausgefüllte, signaturfähige PDF-Fassung bereit und unterzeichnen gegen.
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt die Rechte und Pflichten zwischen
dem Kunden (nachfolgend „Verantwortlicher“)
und der
Touchpoint GmbH, Harniskai 22, 4. OG, 24937 Flensburg,
eingetragen im Handelsregister des Amtsgerichts Flensburg unter HRB 14583 FL
(nachfolgend „Auftragsverarbeiter“)
im Rahmen der Nutzung der SaaS-Anwendung beacontools (app.beacontools.io) und ergänzt die zwischen den Parteien geschlossenen Allgemeinen Geschäftsbedingungen. Er wird geschlossen zur Erfüllung der Anforderungen des Art. 28 DSGVO.
§ 1 Gegenstand, Dauer und Art der Verarbeitung
(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Erbringung des Dienstes beacontools, insbesondere das Monitoring und Alerting auf Basis lesender Zugriffe auf Google-Ads- und Google-Merchant-Center-Konten des Verantwortlichen.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (AGB) zwischen den Parteien.
(3) Art der Verarbeitung: Erheben, Speichern, Auslesen, Abfragen, Verwenden, Übermitteln (an die vom Verantwortlichen eingesetzten Empfangskanäle wie E-Mail oder Slack), Löschen.
(4) Zweck: Bereitstellung der Monitoring- und Alerting-Funktion gemäß Hauptvertrag.
§ 2 Art der Daten und Kategorien betroffener Personen
(1) Verarbeitete Datenarten:
- Account-Stammdaten des Verantwortlichen (Name, E-Mail-Adresse, Firmierung, Rolle)
- OAuth-Tokens für den Zugriff auf die Google-APIs (AES-256-GCM-verschlüsselt gespeichert)
- Metadaten aus den verbundenen Google-Konten (insb. Kampagnen-, Konto- und Produktnamen, Performance- und Budget-Metriken, Issue-Kategorien, Ad-Group-, Keyword- und Anzeigendaten, Feed- und Produkt-Metadaten)
- Alert-History, Integrations-Konfigurationen und Nutzungs-Logdaten
- Abrechnungs- und Zahlungsdaten (verarbeitet über Stripe)
(2) Kategorien betroffener Personen:
- Mitarbeiter, Beauftragte und Nutzer des Verantwortlichen mit Zugang zur App
- ggf. Ansprechpartner und weitere durch den Verantwortlichen im Rahmen der Nutzung eingebundene natürliche Personen
§ 3 Weisungsrechte des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist.
(2) Weisungen werden grundsätzlich in Textform erteilt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung bis zu ihrer Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.
§ 4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung betrauten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).
(2) Er trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (siehe § 6 und Anlage 1).
(3) Er unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen (Kapitel III DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO, soweit dies mit zumutbarem Aufwand möglich ist.
(4) Er informiert den Verantwortlichen unverzüglich, sobald er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt (Art. 33 DSGVO). Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit diese zum Zeitpunkt der Meldung bekannt sind.
(5) Nach Beendigung der Verarbeitung löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
§ 5 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO zur Hinzuziehung weiterer Auftragsverarbeiter (Unterauftragsverarbeiter).
(2) Zum Zeitpunkt des Vertragsschlusses werden die folgenden Unterauftragsverarbeiter eingesetzt:
| Anbieter | Leistung | Sitz / Verarbeitungsort | Transfergrundlage |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Storage | EU-Region Frankfurt | innerhalb EU/EWR |
| Functional Software Inc. (Sentry) | Error-Tracking | EU-Region | SCC |
| Resend, Inc. | Transaktionale E-Mails | USA | SCC |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Irland / USA | SCC, DPF |
| Slack Technologies, LLC | Optionale Alert-Zustellung in vom Nutzer verbundene Workspaces | USA | SCC, DPF |
| Google Ireland Ltd. / Google LLC | Quelle der verarbeiteten Google-Konto-Daten | EU / USA | SCC, DPF |
(3) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus in Textform über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von 30 Tagen nach Zugang der Information widersprechen. Im Falle eines berechtigten Widerspruchs steht dem Verantwortlichen das Recht zur außerordentlichen Kündigung des Hauptvertrags zu.
(4) Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen Vertrag mit datenschutzrechtlichen Verpflichtungen, die den Anforderungen dieses AVV im Wesentlichen entsprechen.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter hat unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Die konkreten Maßnahmen ergeben sich aus Anlage 1 zu diesem AVV.
§ 7 Kontroll- und Auditrechte
(1) Der Verantwortliche hat das Recht, sich von der Einhaltung dieser Vereinbarung und der in Anlage 1 beschriebenen Maßnahmen beim Auftragsverarbeiter zu überzeugen.
(2) Als Nachweis akzeptiert der Verantwortliche die Vorlage geeigneter Unterlagen (z. B. aktuelle TOMs, Testate, Auditberichte). Soweit dies nicht genügt, kann der Verantwortliche nach vorheriger Ankündigung mit angemessener Frist zu üblichen Geschäftszeiten Kontrollen vor Ort durchführen lassen. Die Kontrollen haben so zu erfolgen, dass der Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigt wird.
(3) Die Kosten einer Vor-Ort-Kontrolle trägt der Verantwortliche, es sei denn, die Kontrolle ergibt einen Verstoß des Auftragsverarbeiters gegen diesen AVV.
§ 8 Haftung
Für die Haftung der Parteien gelten die Regelungen des Hauptvertrags (AGB) sowie Art. 82 DSGVO.
§ 9 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Änderung dieser Formklausel.
(2) Im Falle von Widersprüchen zwischen diesem AVV und Regelungen des Hauptvertrags gehen die Regelungen dieses AVV in datenschutzrechtlicher Hinsicht vor.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.
(4) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Server werden in Rechenzentren der Unterauftragsverarbeiter betrieben, die dem Stand der Technik entsprechende physische Zutrittskontrollen vorhalten.
- Zugangskontrolle: Authentifizierung über Einzelkonten, Mehrfaktor-Authentifizierung für administrative Zugänge, regelmäßige Passwort-Rotation, automatische Sitzungs-Timeouts.
- Zugriffskontrolle: Rollen- und rechtebasiertes Berechtigungskonzept („least privilege“), getrennte Produktiv- und Test-Umgebungen, Protokollierung administrativer Zugriffe.
- Trennungskontrolle: Logische Mandantentrennung auf Datenbankebene; getrennte Verarbeitung personenbezogener Daten unterschiedlicher Verantwortlicher.
- Pseudonymisierung und Verschlüsselung: OAuth-Tokens werden mit AES-256-GCM at rest verschlüsselt (Envelope Encryption mit serverseitig verwaltetem Schlüssel, individueller IV pro Token). Transportverschlüsselung (TLS) für alle externen und internen API-Kommunikationen.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle: Verschlüsselte Datenübertragung (TLS ≥ 1.2); Einsatz von SCC bei Drittlandtransfers.
- Eingabekontrolle: Protokollierung relevanter Änderungs- und Zugriffsvorgänge, Nachvollziehbarkeit über Audit-Logs.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Regelmäßige Backups der Datenbank mit definierten Wiederherstellungszielen.
- Redundante Infrastruktur der eingesetzten Cloud-Unterauftragsverarbeiter.
- Monitoring und Alerting auf Infrastruktur- und Anwendungsebene (u. a. Sentry).
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
- Datenschutz-Management: Regelmäßige Überprüfung der Datenschutzerklärung, der Subprozessoren-Liste und der TOMs.
- Incident-Response-Prozess: Definierter Ablauf zur Erkennung, Bewertung und Meldung von Datenschutzvorfällen einschließlich 72-Stunden-Meldung nach Art. 33 DSGVO.
- Auftragskontrolle: Abschluss schriftlicher AVV mit Unterauftragsverarbeitern gemäß Art. 28 DSGVO.