Auftragsverarbeitungsvertrag (AVV)
Stand: Juli 2026
Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag nach Art. 28 DSGVO
zwischen dem Auftraggeber (Kunde des Anbieters, nachfolgend „Kunde“ oder „Verantwortlicher“)
und
Alex Ochs
ul. General Georgi Popov 12
9010 Varna, Bulgarien
(nachfolgend „Anbieter“ oder „Auftragsverarbeiter“)
1. Gegenstand und Dauer der Vereinbarung
1.1. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem zwischen ihnen geschlossenen Vertrag über Dienstleistungen des Anbieters (nachfolgend „Hauptvertrag“). Sie gilt für alle Tätigkeiten, bei denen der Anbieter oder von ihm eingesetzte Subunternehmer personenbezogene Daten im Auftrag des Kunden verarbeiten.
1.2. Diese Vereinbarung ist dem Angebot des Anbieters als Anlage beigefügt und unter alexochs.de/avv abrufbar. Sie wird mit Annahme des Angebots durch den Kunden Bestandteil des Hauptvertrages (vgl. Punkt 12.3 der AGB des Anbieters).
1.3. Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages. Pflichten, die ihrer Natur nach über das Vertragsende hinauswirken (insbesondere Vertraulichkeit und Löschung), bleiben bestehen.
2. Umfang, Art und Zweck der Verarbeitung
2.1. Gegenstand, Art und Zweck der Verarbeitung, die Kategorien personenbezogener Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1 dieser Vereinbarung sowie ergänzend aus dem jeweiligen Angebot.
2.2. Die Verarbeitung findet grundsätzlich in Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Für Verarbeitungen in Drittländern gilt Punkt 7.
3. Weisungsrecht des Kunden
3.1. Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, sofern er nicht durch das Recht der Union oder eines Mitgliedstaats zur Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Anbieter dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.
3.2. Der Hauptvertrag, das Angebot und diese Vereinbarung gelten als allgemeine Weisung. Ergänzende Weisungen erteilt der Kunde in Textform (E-Mail genügt). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
3.3. Der Anbieter informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt. Der Anbieter ist berechtigt, die Durchführung einer solchen Weisung auszusetzen, bis der Kunde sie bestätigt oder ändert.
4. Vertraulichkeit
4.1. Der Anbieter verpflichtet sich, personenbezogene Daten des Kunden vertraulich zu behandeln. Der Anbieter erbringt seine Leistungen als Einzelunternehmer; Zugriff auf personenbezogene Daten des Kunden haben ausschließlich der Anbieter selbst sowie die nach Punkt 6 eingesetzten Subunternehmer.
4.2. Soweit der Anbieter künftig Mitarbeiter oder weitere Personen einsetzt, stellt er sicher, dass sich diese zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass sie mit den für sie relevanten Datenschutzbestimmungen vertraut sind.
5. Technische und organisatorische Maßnahmen
5.1. Der Anbieter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus im Sinne des Art. 32 DSGVO.
5.2. Die Maßnahmen unterliegen dem technischen Fortschritt. Der Anbieter darf sie anpassen und weiterentwickeln, solange das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen dokumentiert der Anbieter.
6. Subunternehmer (weitere Auftragsverarbeiter)
6.1. Der Kunde erteilt dem Anbieter die allgemeine Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO, Subunternehmer zur Verarbeitung personenbezogener Daten einzusetzen. Die zum Zeitpunkt des Vertragsschlusses genehmigten Subunternehmer sind in Anlage 3 aufgeführt. Je nach Projekt wird nur ein Teil der dort genannten Subunternehmer tatsächlich eingesetzt; maßgeblich ist der im Angebot beschriebene Leistungsumfang.
6.2. Die jeweils aktuelle Liste der Subunternehmer ist unter alexochs.de/avv abrufbar. Der Anbieter informiert den Kunden in Textform über beabsichtigte Änderungen (Hinzufügen oder Ersetzen von Subunternehmern) mindestens 30 Tage vor deren Wirksamwerden. Der Kunde kann der Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen. Ist eine einvernehmliche Lösung nicht möglich und ist dem Anbieter die Leistungserbringung ohne den neuen Subunternehmer nicht zumutbar, sind beide Parteien berechtigt, den Hauptvertrag mit Wirkung zum Ende des laufenden Abrechnungsmonats zu kündigen.
6.3. Der Anbieter schließt mit jedem Subunternehmer einen Vertrag, der diesem im Wesentlichen dieselben Datenschutzpflichten auferlegt, wie sie in dieser Vereinbarung festgelegt sind. Kommt ein Subunternehmer seinen Datenschutzpflichten nicht nach, haftet der Anbieter gegenüber dem Kunden für die Einhaltung der Pflichten des Subunternehmers.
6.4. Kundeneigene Systeme: Tools und Dienste, die der Kunde selbst beauftragt hat oder bereitstellt (z.B. das eigene CRM-System, der eigene Newsletter- oder E-Mail-Dienst, die eigene Kalender- oder Terminbuchungssoftware des Kunden), sind keine Subunternehmer des Anbieters. Die datenschutzkonforme Beauftragung dieser Dienste, insbesondere der Abschluss eigener Auftragsverarbeitungsverträge mit deren Anbietern, obliegt allein dem Kunden. Der Anbieter verarbeitet personenbezogene Daten in solchen Systemen ausschließlich im Rahmen der Weisungen des Kunden.
6.5. Keine Subunternehmer im Sinne dieser Vereinbarung sind ferner Dienstleister, deren Leistungen der Kunde in eigenem Namen und auf Grundlage eigener Verträge in Anspruch nimmt, insbesondere Werbeplattformen wie Google Ads oder Meta Ads, soweit der Kunde dort selbst Vertragspartner ist (vgl. Punkt 5.1 der AGB des Anbieters).
7. Verarbeitung in Drittländern
7.1. Eine Verarbeitung in Ländern außerhalb der EU bzw. des EWR erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (z.B. EU-US Data Privacy Framework) oder geeigneter Garantien wie der EU-Standardvertragsklauseln.
7.2. Die in Anlage 3 aufgeführten Drittlandtransfers gelten mit Abschluss dieser Vereinbarung als genehmigt.
8. Unterstützung bei Betroffenenrechten
8.1. Der Anbieter unterstützt den Kunden mit geeigneten technischen und organisatorischen Maßnahmen dabei, seinen Pflichten zur Beantwortung von Anträgen betroffener Personen (Art. 12 bis 23 DSGVO, insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch) nachzukommen.
8.2. Wendet sich eine betroffene Person unmittelbar an den Anbieter, leitet der Anbieter den Antrag unverzüglich an den Kunden weiter. Der Anbieter beantwortet solche Anträge nicht selbst, es sei denn, der Kunde weist ihn dazu an oder der Anbieter ist gesetzlich dazu verpflichtet.
9. Meldepflichten und weitere Unterstützung
9.1. Der Anbieter meldet dem Kunden unverzüglich jede Verletzung des Schutzes personenbezogener Daten, die Daten des Kunden betrifft. Die Meldung enthält, soweit möglich, die in Art. 33 Abs. 3 DSGVO genannten Informationen (Art der Verletzung, betroffene Kategorien und ungefähre Anzahl, wahrscheinliche Folgen, ergriffene und vorgeschlagene Maßnahmen).
9.2. Der Anbieter unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen an Aufsichtsbehörden und Betroffene, Datenschutz-Folgenabschätzung, vorherige Konsultation).
10. Nachweis und Kontrollrechte
10.1. Der Anbieter stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind. Der Nachweis erfolgt vorrangig durch geeignete Dokumentation, Selbstauskünfte, Zertifikate oder Prüfberichte der eingesetzten Subunternehmer.
10.2. Der Kunde ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen oder durch einen zur Verschwiegenheit verpflichteten Prüfer überprüfen zu lassen. Überprüfungen erfolgen nach vorheriger Ankündigung mit angemessener Frist, während der üblichen Geschäftszeiten, ohne unverhältnismäßige Störung des Geschäftsbetriebs des Anbieters und höchstens einmal pro Kalenderjahr, sofern kein konkreter Anlass eine weitere Überprüfung erfordert.
11. Löschung und Rückgabe
11.1. Nach Abschluss der Leistungserbringung oder auf Weisung des Kunden löscht der Anbieter nach Wahl des Kunden alle personenbezogenen Daten des Kunden oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht eine Pflicht zur Speicherung nach dem Recht der Union oder eines Mitgliedstaats besteht.
11.2. Trifft der Kunde innerhalb von 30 Tagen nach Beendigung des Hauptvertrages keine Wahl, ist der Anbieter berechtigt, die Daten zu löschen. Die Löschung wird dem Kunden auf Verlangen bestätigt.
11.3. Dokumentationen, die dem Nachweis der ordnungsgemäßen Verarbeitung dienen, darf der Anbieter über das Vertragsende hinaus entsprechend den jeweiligen gesetzlichen Fristen aufbewahren.
12. Haftung
12.1. Für die Haftung der Parteien gelten Art. 82 DSGVO sowie ergänzend die Haftungsregelungen des Hauptvertrages einschließlich der AGB des Anbieters.
13. Schlussbestimmungen
13.1. Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag geht diese Vereinbarung hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag vor. Im Übrigen bleiben die Regelungen des Hauptvertrages unberührt.
13.2. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform.
13.3. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, Göppingen, Deutschland (vgl. Punkte 13.1 und 13.2 der AGB des Anbieters). Zwingende Vorgaben der DSGVO bleiben von der Rechtswahl unberührt.
13.4. Sollte eine Bestimmung dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1: Gegenstand der Verarbeitung
1. Tätigkeiten (je nach beauftragtem Leistungsumfang)
- Konzeption, Erstellung und Betrieb von Landing Pages und Funnels einschließlich der Erfassung, Speicherung und Weiterleitung von Anfragen (Leads)
- Einrichtung und Betreuung von Werbekampagnen auf Google Ads und Meta Ads einschließlich Conversion-Tracking und Zielgruppen-Funktionen
- Einrichtung und Betreuung von CRM- und Funnel-Systemen, einschließlich vom Anbieter entwickelter Individual-Software (z.B. Custom CRM, Dashboards, Tracker) sowie der Arbeit in kundeneigenen Systemen
- Versand von E-Mails im Auftrag des Kunden (z.B. Lead-Benachrichtigungen, Follow-up-Sequenzen, Newsletter)
- LinkedIn-Outreach und Kontaktanbahnung im Namen des Kunden (nur im Rahmen des LinkedIn-Angebots)
- Entwicklung, Betrieb und Wartung individueller Software, die personenbezogene Daten verarbeitet
- Recruiting-Kampagnen einschließlich der Erfassung und Weiterleitung von Bewerbungen und Bewerberdaten
2. Zweck der Verarbeitung
Durchführung der im Hauptvertrag und Angebot beschriebenen Marketing-, Software- und Recruiting-Dienstleistungen für den Kunden.
3. Art der Verarbeitung
Erheben, Erfassen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln, Verknüpfen, Einschränken, Löschen.
4. Kategorien personenbezogener Daten
- Kontakt- und Stammdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse, Firma)
- Anfrage- und Kommunikationsdaten (Formulareingaben, Nachrichteninhalte, Terminbuchungen)
- Vertrags- und Angebotsdaten der Endkunden des Kunden
- Dokumente und Unterlagen, die Endkunden des Kunden bereitstellen oder in Portalen hochladen (z.B. Grundrisse, Energieausweise, Förderunterlagen)
- Nutzungs- und Trackingdaten (IP-Adresse, Geräte- und Browserinformationen, Seitenaufrufe, Conversion-Daten)
- Bewerberdaten (Qualifikationen, Berufserfahrung, Verfügbarkeit, Gehaltsvorstellung, Bewerbungsunterlagen)
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO, z.B. Gesundheitsdaten) sind nicht Gegenstand dieser Vereinbarung. Der Kunde übermittelt solche Daten nicht ohne vorherige gesonderte Vereinbarung.
5. Kategorien betroffener Personen
- Interessenten und Leads des Kunden
- Kunden und Vertragspartner des Kunden
- Besucher der für den Kunden betriebenen Websites und Landing Pages
- Bewerber auf Stellen des Kunden
- Mitarbeiter und Ansprechpartner des Kunden
6. Dauer der Verarbeitung
Laufzeit des Hauptvertrages; Löschung nach Maßgabe von Punkt 11 dieser Vereinbarung.
Anlage 2: Technische und organisatorische Maßnahmen (TOMs)
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zugriff auf Kundendaten hat ausschließlich der Anbieter selbst (Einzelunternehmer ohne Mitarbeiter) sowie die in Anlage 3 genannten Subunternehmer im erforderlichen Umfang
- Zugangskontrolle: Absicherung aller Konten durch starke, einmalige Passwörter (Passwort-Manager) und Zwei-Faktor-Authentifizierung, soweit vom jeweiligen Dienst unterstützt
- Verschlüsselung der Arbeitsgeräte (Festplattenverschlüsselung) und Sperrung bei Inaktivität
- Prinzip der minimalen Rechte: Zugänge zu Kundensystemen nur im für die Leistung erforderlichen Umfang
- Mandantentrennung: Daten verschiedener Kunden werden in getrennten Projekten, Workspaces bzw. Umgebungen verarbeitet
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Verschlüsselte Übertragung personenbezogener Daten (TLS/HTTPS) bei allen betriebenen Websites, Landing Pages und Schnittstellen
- Weitergabe von Daten ausschließlich über die vereinbarten Systeme und Schnittstellen
- Nutzung der Zugriffs- und Änderungsprotokolle der eingesetzten Plattformen
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
- Hosting und Datenhaltung bei professionellen Anbietern mit redundanter Infrastruktur und Backup-Verfahren (siehe Anlage 3)
- Zeitnahes Einspielen von Sicherheitsupdates bei selbst entwickelter Software
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Abschluss von Auftragsverarbeitungsverträgen mit allen eingesetzten Subunternehmern; Auswahl von Diensten mit DSGVO-Konformität
- Regelmäßige Überprüfung der aktiven Zugänge, Tools und Berechtigungen; Entzug nicht mehr benötigter Zugänge
- Löschung personenbezogener Daten nach Vertragsende gemäß Punkt 11 dieser Vereinbarung
Anlage 3: Genehmigte Subunternehmer
Die folgende Liste ist ein projektabhängiger Pool. Je Projekt wird nur ein Teil der genannten Subunternehmer eingesetzt; maßgeblich ist der im Angebot beschriebene Leistungsumfang. Tools, die der Kunde selbst beauftragt oder bereitstellt, sind keine Subunternehmer des Anbieters (Punkt 6.4). Die jeweils aktuelle Liste ist unter alexochs.de/avv abrufbar.
| Subunternehmer | Zweck | Sitz | Drittlandtransfer / Garantie |
|---|---|---|---|
| Vercel Inc. | Hosting von Landing Pages und Web-Anwendungen | USA | EU-US Data Privacy Framework / EU-Standardvertragsklauseln |
| Google Ireland Limited | Google Ads, Google Analytics, Google Tag Manager | Irland | Konzerninterne US-Transfers: EU-US Data Privacy Framework / EU-Standardvertragsklauseln |
| Meta Platforms Ireland Limited | Meta Ads (Facebook, Instagram) | Irland | Konzerninterne US-Transfers: EU-US Data Privacy Framework / EU-Standardvertragsklauseln |
| Upstash Inc. | Datenbank und Datenspeicher für Web-Anwendungen | USA | EU-Standardvertragsklauseln |
| Neon Inc. | PostgreSQL-Datenbank für Web-Anwendungen (z.B. Kundenportale) | USA | EU-Standardvertragsklauseln |
| Resend | Transaktionaler E-Mail-Versand (z.B. Lead-Benachrichtigungen) | USA | EU-Standardvertragsklauseln |
| HighLevel Inc. (GoHighLevel) | CRM- und Funnel-Plattform, E-Mail/SMS-Automationen | USA | EU-Standardvertragsklauseln |
| Sendinblue SAS (Brevo) | E-Mail-Marketing und CRM | Frankreich | Kein Drittlandtransfer beabsichtigt |
| Cal.com Inc. | Terminbuchung | USA | EU-Standardvertragsklauseln |
| Calendly LLC | Terminbuchung | USA | EU-US Data Privacy Framework / EU-Standardvertragsklauseln |
| Plausible Insights OÜ | Webanalyse (cookielos) | Estland | Kein Drittlandtransfer beabsichtigt |
| Dripify | LinkedIn-Outreach-Automatisierung (nur im Rahmen des LinkedIn-Angebots) | USA | EU-Standardvertragsklauseln |
| Notion Labs Inc. | Projektorganisation und Dokumentation | USA | EU-US Data Privacy Framework / EU-Standardvertragsklauseln |
| GitHub Inc. | Quellcode-Verwaltung und Versionskontrolle für entwickelte Software | USA | EU-US Data Privacy Framework / EU-Standardvertragsklauseln |

