Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Stand: 25.06.2026

Parteien

Zwischen dem Kunden (Versicherungsmakler) — „Verantwortlicher“ — und RZH Media/IT, Raoul Levin Ziehmann-Hesse, Hauptstraße 194, 69117 Heidelberg — „Auftragsverarbeiter“. Dieser AVV ist Bestandteil des Nutzungsvertrags (AGB) und kommt mit diesem zustande.

§ 1 Gegenstand und Dauer

(1) Der Auftragsverarbeiter betreibt für den Verantwortlichen die SaaS-Anwendung InsurAgent und verarbeitet dabei personenbezogene Daten in dessen Auftrag (Art. 28 DSGVO).

(2) Dieser AVV gilt für die Dauer des Nutzungsvertrags.

§ 2 Art, Zweck, Datenkategorien, Betroffene

(1) Zweck: Kundenstamm-Verwaltung, E-Mail-Kommunikation (Postfach-Anbindung, Gruß-Mails, Kampagnen mit Freigabe), KI-gestützte Text-/Analysefunktionen, Kalender.

(2) Datenkategorien: Stammdaten (Name, Anrede, Geburtsdatum, Adresse), Kontaktdaten (E-Mail, Telefon), Vertrags-/Spartendaten (Versicherungssparten, Beiträge, Vertragsnummern), Kommunikationsdaten (E-Mail-Inhalte und -Metadaten), Einwilligungs-/Abmeldestatus.

(3) Betroffene: Kunden und Interessenten des Verantwortlichen sowie dessen Kommunikationspartner.

(4) Besondere Kategorien (Art. 9 DSGVO, z. B. Gesundheitsbezüge in PKV-/BU-Kontexten) können in E-Mail-Inhalten und Vertragsdaten enthalten sein; der Verantwortliche stellt die Rechtsgrundlage sicher.

§ 3 Weisungsrecht

(1) Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen; die Nutzung der Anwendung und ihrer Konfiguration (z. B. Kampagnen-Freigaben, Automatisierungs-Einstellungen) gilt als Weisung.

(2) Übermittlungen in Drittländer erfolgen nur auf dokumentierte Weisung bzw. gemäß Anlage 2. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich.

§ 4 Vertraulichkeit

Mit der Verarbeitung befasste Personen sind zur Vertraulichkeit verpflichtet worden.

§ 5 Sicherheit der Verarbeitung

Der Auftragsverarbeiter trifft die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 1 und passt sie dem Stand der Technik an, ohne das Schutzniveau zu unterschreiten.

§ 6 Subunternehmer

(1) Der Verantwortliche erteilt die allgemeine Genehmigung für die in Anlage 2 genannten Subunternehmer.

(2) Über beabsichtigte Änderungen (Hinzuziehung/Ersetzung) informiert der Auftragsverarbeiter in Textform mit mindestens 4 Wochen Vorlauf; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Bei Widerspruch ohne zumutbare Alternative dürfen beide Parteien den Hauptvertrag zum Wirksamwerden der Änderung kündigen.

(3) Subunternehmer werden vertraglich auf mindestens das Schutzniveau dieses AVV verpflichtet. Erfüllt ein Subunternehmer seine Pflichten nicht, haftet der Auftragsverarbeiter dem Verantwortlichen hierfür.

§ 7 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten Mitteln bei der Beantwortung von Betroffenenanfragen (Kapitel III DSGVO) — u. a. durch Export-, Berichtigungs- und Löschfunktionen sowie technisch durchgesetzte Abmeldungen (Opt-out/Sperrliste).

(2) Er unterstützt bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung). Verletzungen des Schutzes personenbezogener Daten meldet er dem Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis, mit den Angaben nach Art. 33 Abs. 3 DSGVO.

§ 8 Löschung und Rückgabe

(1) Nach Vertragsende kann der Verantwortliche seine Daten 30 Tage lang exportieren (CSV).

(2) Danach löscht der Auftragsverarbeiter sämtliche Auftragsdaten des Mandanten; Sicherungskopien werden im Rahmen der Backup-Rotation vollständig überschrieben (spätestens 14 Tage nach Löschung), soweit keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch bestätigt er die Löschung in Textform.

§ 9 Nachweise und Kontrollen

(1) Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Pflichten aus Art. 28 DSGVO bereit (insbesondere Anlage 1, Zertifikate der Rechenzentren, Auskünfte in Textform).

(2) Der Verantwortliche kann Kontrollen durchführen oder durch beauftragte Prüfer durchführen lassen; sie erfolgen nach Ankündigung mit angemessener Frist, während üblicher Geschäftszeiten und ohne unverhältnismäßige Störung des Betriebs. Regelfall ist die Kontrolle anhand von Dokumentation und Selbstauskünften.

§ 10 Schlussbestimmungen

(1) Es gilt deutsches Recht. Im Übrigen gelten die Regelungen des Hauptvertrags.

(2) Bei Widersprüchen zwischen AVV und AGB geht in Datenschutzfragen der AVV vor.

Anlage 1 — Technische und organisatorische Maßnahmen (TOMs)

Rechenzentrum/Infrastruktur: Hosting ausschließlich bei Hetzner Online GmbH in Deutschland, ISO/IEC-27001-zertifizierte Rechenzentren; Zutrittskontrolle durch den Rechenzentrumsbetreiber.

Zugangskontrolle: Passwort-Hashing (bcrypt), signierte Sitzungs-Tokens, rollenbasierte Zugriffe; administrativer Serverzugang nur per SSH-Schlüssel.

Zugriffs-/Trennungskontrolle (Mandantentrennung): strikte Multi-Tenant-Isolation auf Datenbankebene (PostgreSQL Row-Level-Security); jede Tabelle mandantengebunden; Betreiber-Zugriffe auf Mandanten werden protokolliert (Audit-Log).

Verschlüsselung: Transportverschlüsselung (TLS/HTTPS) für sämtliche Verbindungen; E-Mail-Zugangsdaten werden mit AES-256-GCM verschlüsselt gespeichert; DKIM-signierter Mail-Versand.

Eingabekontrolle: Audit-Log administrativer Aktionen; Versandprotokolle (Outbox-Status, Bounce-/Beschwerde-Verarbeitung).

Verfügbarkeitskontrolle: tägliche automatisierte Datenbank-Sicherungen mit 14-tägiger Aufbewahrungsrotation; Prozess-Überwachung mit Alarmierung.

Datenminimierung: kein Öffnungs-/Klick-Tracking in E-Mails; KI-Verarbeitung ausschließlich bei EU-Anbietern (Anlage 2) mit gesetztem Training-Opt-out; keine Weitergabe zu Werbezwecken Dritter.

Organisatorisches: Prinzip der minimalen Rechtevergabe; Trennung von Entwicklungs- und Produktionsumgebung; unverzügliche Einspielung sicherheitsrelevanter Updates.

Anlage 2 — Genehmigte Subunternehmer

Hetzner Online GmbH (Gunzenhausen, DE) — Server-Hosting (Anwendung, Datenbank, Sicherungen); Datenstandort Deutschland.

Mistral AI SAS (Paris, FR) — KI-Textgenerierung/-Analyse; Verarbeitung in der EU, Training-Opt-out gesetzt.

Mailjet SAS (Sinch-Gruppe) (Paris, FR) — E-Mail-Massenversand (Relay) inkl. Bounce-/Beschwerde-Verarbeitung; Verarbeitung in der EU.

Amazon Web Services EMEA SARL (Luxemburg; Amazon SES, Region Frankfurt) — E-Mail-Versand im Übergangsbetrieb; wird durch Mailjet abgelöst und anschließend aus dieser Liste entfernt.

Keine Subunternehmer dieses AVV (verarbeiten keine Daten der Makler-Kunden): Stripe (Zahlungsdaten des Kunden selbst — siehe Datenschutzerklärung), IONOS (DNS), der Postfach-Anbieter des Kunden (dessen eigener Vertragspartner).