sagamol
Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Entwurf

Stand: Juli 2026 (Entwurf) · Version 1

Dieser Text ist ein inhaltlicher Entwurf und wurde noch nicht anwaltlich geprüft. Er dient als Arbeitsgrundlage und ist keine Rechtsberatung.

Dieser Auftragsverarbeitungsvertrag (AVV) wird zwischen der Kundenorganisation (der „Verantwortliche") und Kevin Wenninger (Einzelunternehmen/Eenmanszaak), [Anschrift], Belgien, Unternehmensnummer (KBO/BCE) 0729.646.668, E-Mail: info@sagamol.com (der „Auftragsverarbeiter") geschlossen. Er ist gemäß Ziffer 7 der Nutzungsbedingungen Bestandteil des Vertrags über die Nutzung der Plattform sagamol und konkretisiert die Pflichten der Parteien nach Art. 28 DSGVO.

1. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten, die der Verantwortliche über die Plattform sagamol erhebt und verwaltet. Die Dauer entspricht der Laufzeit des Hauptvertrags (Nutzungsbedingungen); dieser AVV endet mit ihm.

2. Art und Zweck der Verarbeitung, Datenkategorien, betroffene Personen

Art und Zweck: Hosting und Bereitstellung der Plattform, Speicherung und Auswertung von Umfrageantworten, Verwaltung des Teilnehmer-Panels (Double-Opt-in), Organisation von Studien-Terminen sowie Versand von Einladungs- und Transaktions-E-Mails im Auftrag des Verantwortlichen.

Datenkategorien: E-Mail-Adressen und optionale Namen von Panel-Mitgliedern und Termin-Buchenden, Einwilligungsnachweise (Zeitstempel, Textversion), Zustellstatus von E-Mails sowie Umfrageantworten (ohne Personenbezug gespeichert; Freitextantworten können jedoch von Teilnehmenden eingegebene personenbezogene Daten enthalten).

Kategorien betroffener Personen: Panel-Mitglieder, Umfrage-Teilnehmende, Studien-Teilnehmende und vom Verantwortlichen eingeladene Personen.

3. Weisungsgebundene Verarbeitung

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — im Regelfall erteilt durch die Nutzung der Funktionen der Plattform — es sei denn, er ist nach dem Recht der EU oder eines Mitgliedstaats zur Verarbeitung verpflichtet; in diesem Fall informiert er den Verantwortlichen vor der Verarbeitung, sofern das Recht dies nicht verbietet.

Hält der Auftragsverarbeiter eine Weisung für datenschutzwidrig, informiert er den Verantwortlichen unverzüglich.

4. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft die in Anhang A beschriebenen technischen und organisatorischen Maßnahmen und entwickelt sie entsprechend dem Stand der Technik fort. Wesentliche Verschlechterungen des Schutzniveaus sind ausgeschlossen.

6. Subprozessoren

Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz der in Anhang B genannten Subprozessoren. Beabsichtigte Änderungen (Hinzufügen oder Ersetzen) teilt der Auftragsverarbeiter mindestens 30 Tage vorab mit; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Können sich die Parteien nicht einigen, kann jede Partei den Hauptvertrag kündigen.

Mit jedem Subprozessor bestehen Verträge, die diesem AVV im Wesentlichen entsprechende Pflichten auferlegen.

7. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Mitteln bei der Beantwortung von Anfragen betroffener Personen (Art. 12–23 DSGVO) — insbesondere durch die in der Plattform eingebauten Lösch-, Abmelde- und Exportfunktionen — sowie, unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen, bei den Pflichten aus Art. 32 bis 36 DSGVO.

8. Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die dessen Daten betrifft, ohne unangemessene Verzögerung nach Bekanntwerden. Die Meldung enthält — soweit verfügbar — die nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen und wird bei Bedarf schrittweise ergänzt.

9. Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann seine Daten zuvor über die Exportfunktionen der Plattform (z. B. CSV) selbst sichern. Daten in rollierenden Datenbank-Sicherungen werden mit deren turnusmäßigem Überschreiben gelöscht.

10. Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Pflichten aus Art. 28 DSGVO erforderlich sind — insbesondere die technische Dokumentation der Maßnahmen (Anhang A) und die Zertifizierungen der Subprozessoren.

Der Verantwortliche kann Überprüfungen durchführen oder durch einen geeigneten, zur Vertraulichkeit verpflichteten Prüfer durchführen lassen; sie erfolgen mit angemessener Vorankündigung, während üblicher Geschäftszeiten und ohne unverhältnismäßige Störung des Betriebs.

11. Schlussbestimmungen

Im Übrigen gelten die Nutzungsbedingungen, einschließlich der dortigen Haftungsregelung und der Rechtswahl (belgisches Recht). Bei Widersprüchen zu datenschutzrechtlichen Pflichten geht dieser AVV vor.

Anhang A: Technische und organisatorische Maßnahmen (TOMs)

Mandantentrennung: Die Daten jeder Kundenorganisation sind auf Datenbankebene durch Row Level Security strikt getrennt; es existiert kein anwendungs- oder datenbankseitiger mandantenübergreifender Zugriffspfad. Die Wirksamkeit wird bei jeder Code-Änderung durch automatisierte Negativtests geprüft.

Zugriffskontrolle: Öffentliche Seiten haben keinen direkten Datenbankzugriff; sie nutzen ausschließlich validierende Schnittstellen mit nicht erratbaren Zugriffstoken. Unauthentifizierte Datenbankrollen haben keinerlei Tabellenzugriff. Rollenmodell (Owner/Admin/Member) im Backoffice.

Übertragung und Speicherung: Transportverschlüsselung (TLS) auf allen Verbindungen; Passwörter nur als kryptografische Hashes; Zugangs- und Systemgeheimnisse ausschließlich in serverseitigen Umgebungsvariablen.

Datenminimierung: Keine Speicherung von IP-Adressen, Geräteinformationen oder Browser-Fingerprints; Umfrageantworten ohne Personenbezug; E-Mail-Adressen werden in technischen Protokollen maskiert.

Missbrauchsschutz: Datenbankseitige Ratenbegrenzungen und Honeypot-Felder auf öffentlichen Formularen; Webhooks mit Shared-Secret-Prüfung in konstanter Zeit.

Verfügbarkeit: Tägliche automatisierte Datenbank-Sicherungen durch den Hosting-Anbieter; Datenhaltung ausschließlich in der EU (Frankfurt).

Anhang B: Genehmigte Subprozessoren

Supabase, Inc. — Datenbank, Authentifizierung, Datei-Speicher; Region eu-central-1 (Frankfurt, EU); SOC 2 Type II / ISO 27001 zertifiziert.

Vercel, Inc. — Anwendungs-Hosting; Serverfunktionen in der Region fra1 (Frankfurt, EU); globales Edge-Netz für statische Auslieferung und TLS-Terminierung.

Sendinblue GmbH / Brevo — E-Mail-Versand; Anbieter mit Sitz in Frankreich (EU); übermittelt werden nur Empfängeradresse, Betreff, Inhalt und Anhänge.