Auftragsverarbeitungsvertrag

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Auftraggeber (Verantwortlicher): Firma / Name:
Adresse:
Vertreten durch:
E-Mail:
— im Folgenden „Auftraggeber" —

und

Auftragsverarbeiter: Ben Oschmann und Tom Spahn GbR
Trautenauer Straße 34, 97074 Würzburg
E-Mail: info@stack-os.de · Tel.: +49 1706 027311
— im Folgenden „Auftragsverarbeiter" —

— Auftraggeber und Auftragsverarbeiter nachfolgend gemeinsam „die Parteien" —

§ 1 Gegenstand und Dauer des Auftrags

(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Speed2Lead-Systems von StackOS durch den Auftraggeber. Das System erfasst Anfragen (Leads) von Endkunden des Auftraggebers, verarbeitet diese automatisiert und ermöglicht eine schnelle Erstkommunikation.

(2) Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages (Dienstleistungsvertrag) zwischen den Parteien. Er endet automatisch mit Beendigung des Hauptvertrages, sofern sich aus den Bestimmungen dieses Vertrages keine darüber hinausgehenden Verpflichtungen ergeben.

§ 2 Art, Umfang und Zweck der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet im Auftrag des Auftraggebers folgende personenbezogene Daten:

Kontaktdaten von Interessenten/Leads: Name, E-Mail-Adresse, Telefonnummer
Anfrageinhalte (Nachrichtentext, Anfragegrund)
Zeitstempel und Herkunft der Anfrage (Kanal: Formular, E-Mail, Facebook Ads)
Status der Kommunikation (beantwortet, Follow-up, Termin vereinbart)

(2) Zweck der Verarbeitung ist die automatisierte Erstkommunikation mit Interessenten des Auftraggebers (Speed2Lead), die Verwaltung von Anfragen in einer sicheren Datenbank sowie die Generierung und der Versand von E-Mail-Antworten.

(3) Betroffene Personen sind Interessenten und potenzielle Kunden des Auftraggebers, die über digitale Kanäle Kontakt aufnehmen.

§ 3 Weisungsbefugnis des Auftraggebers

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers. Der Hauptvertrag sowie dieser Vertrag gelten als dokumentierte Weisungen.

(2) Weisungen können schriftlich (E-Mail an info@stack-os.de) oder in elektronischer Form erteilt werden und sind zu dokumentieren.

(3) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich zu informieren.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

Personenbezogene Daten ausschließlich auf Weisung des Auftraggebers und zum vereinbarten Zweck zu verarbeiten
Keine Daten für eigene Zwecke zu nutzen oder an unbefugte Dritte weiterzugeben
Die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten
Geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO umzusetzen (siehe Anlage 1)
Den Auftraggeber unverzüglich zu informieren, wenn eine Datenschutzverletzung bekannt wird (spätestens innerhalb von 24 Stunden)
Den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung) zu unterstützen
Nach Vertragsende alle personenbezogenen Daten zu löschen oder zurückzugeben

§ 5 Unterauftragsverarbeiter (Sub-Processor)

(1) Der Auftraggeber erteilt hiermit die allgemeine Genehmigung zur Beauftragung folgender Unterauftragsverarbeiter:

Supabase Inc. (USA) — Datenbankhosting, Region EU Frankfurt — supabase.com
Resend Inc. (USA) — E-Mail-Versand (nur E-Mail-Adresse und Vorname werden übermittelt) — resend.com
Anthropic, PBC (USA) — KI-Verarbeitung (keine personenbezogenen Daten übermittelt) — anthropic.com
n8n GmbH (Deutschland) — Workflow-Automatisierung — n8n.io
Railway Corp. (USA) — Server-Hosting — railway.app

(2) Für alle US-Anbieter gelten die EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als Rechtsgrundlage der Drittlandsübermittlung.

(3) Der Auftragsverarbeiter informiert den Auftraggeber über geplante Änderungen der Unterauftragsverarbeiter. Der Auftraggeber kann innerhalb von 14 Tagen Widerspruch einlegen.

§ 6 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorschriften durch den Auftragsverarbeiter zu kontrollieren.

(2) Kontrollen können erfolgen durch: schriftliche Anfragen, Vorlage von Zertifikaten oder Berichten (z.B. ISO 27001, SOC 2), oder nach vorheriger Ankündigung (mind. 5 Werktage) als Vor-Ort-Prüfung.

(3) Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung seiner Pflichten gemäß Art. 32–36 DSGVO.

§ 7 Datenlöschung und Rückgabe

(1) Nach Beendigung des Hauptvertrages werden alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen vollständig und unwiederbringlich gelöscht.

(2) Auf ausdrücklichen Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen Format (CSV, JSON) zur Verfügung gestellt.

(3) Die Löschung wird dem Auftraggeber schriftlich bestätigt.

§ 8 Haftung

Die Haftung der Parteien richtet sich nach den Regelungen des Hauptvertrages sowie den gesetzlichen Bestimmungen der DSGVO. Der Auftragsverarbeiter haftet gegenüber dem Auftraggeber für Schäden, die durch Verletzung der in diesem Vertrag festgelegten Pflichten entstehen.

§ 9 Schlussbestimmungen

(1) Dieser Vertrag unterliegt deutschem Recht. Gerichtsstand ist Würzburg.

(2) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.

(3) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Ort, Datum

___________________________
Auftraggeber (Unterschrift)

Würzburg, Datum

___________________________
Ben Oschmann und Tom Spahn GbR

Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO — Stand: April 2026

1. Zutrittskontrolle

Server befinden sich in gesicherten Rechenzentren (Supabase EU Frankfurt, Railway). Physischer Zugang nur für autorisiertes Rechenzentrum-Personal.

2. Zugangskontrolle

Zugang zu Systemen nur über starke Passwörter und API-Keys. Keine Weitergabe von Zugangsdaten. Admin-Zugang durch Passwort-Hash (bcrypt) geschützt.

3. Zugriffskontrolle (Datentrennung)

Mandantentrennung durch Row Level Security (RLS) in Supabase: Jeder Auftraggeber sieht ausschließlich seine eigenen Daten. Technisch erzwungen auf Datenbankebene.

4. Weitergabekontrolle

Alle Datenübertragungen erfolgen ausschließlich über verschlüsselte HTTPS/TLS-Verbindungen (TLS 1.2+). API-Keys werden nie im Frontend-Code gespeichert.

5. Eingabekontrolle

Alle Dateneingaben werden protokolliert (Timestamp, Quelle). Änderungen an Kundendaten sind nachvollziehbar.

6. Auftragskontrolle

Unterauftragsverarbeiter sind vertraglich zur Einhaltung der DSGVO verpflichtet (AVV + SCCs). Liste siehe § 5.

7. Verfügbarkeitskontrolle

Automatische tägliche Backups durch Supabase. Monitoring der Systemverfügbarkeit. Redundante Infrastruktur beim Hosting-Anbieter.

8. Trennungskontrolle

Daten verschiedener Auftraggeber werden technisch getrennt verarbeitet und gespeichert (separate customer_id, RLS). Keine Vermischung von Kundendaten.

9. Pseudonymisierung

KI-Verarbeitung (Anthropic) erfolgt ohne personenbezogene Daten — es werden ausschließlich anonymisierte Geschäftskontexte übermittelt.

10. Verschlüsselung

Daten at rest: Verschlüsselung durch Supabase (AES-256). Daten in transit: TLS-Verschlüsselung für alle API-Verbindungen.