Auftragsverarbeitungsvertrag
Stand: 2. Juli 2026Vertragspartner
Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") wird geschlossen zwischen
- dem Kunden (im Folgenden „Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO), also der natürlichen oder juristischen Person, die das bemailed-Konto eröffnet,
- und der Essential Advertising GmbH, Adenauerallee 2, 61440 Oberursel, vertreten durch den Geschäftsführer Daniel Klantke (im Folgenden „Auftragsverarbeiter" im Sinne des Art. 4 Nr. 8 DSGVO).
Der AVV wird in elektronischer Form per Click-Wrap beim Signup geschlossen. Die elektronische Form ist nach Art. 28 Abs. 9 DSGVO ausdrücklich zulässig. Mit Klick auf die separate AVV-Checkbox im Signup-Formular kommt der Vertrag mit dem hier wiedergegebenen Inhalt zustande. Zeitpunkt, IP-Adresse, User-Agent und Versions-Hash der akzeptierten Fassung werden audit-fest in der Datenbank protokolliert.
§1 Gegenstand und Dauer
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag und nach Weisung des Verantwortlichen, konkret der Versand von Newslettern an vom Verantwortlichen bereitgestellte Empfänger-Listen sowie das damit verbundene Tracking, Bounce- und Complaint-Handling.
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (AGB) zwischen den Parteien zuzüglich der in §12 geregelten Rückgewinnungsfrist.
§2 Art und Umfang der verarbeiteten Daten
Der Auftragsverarbeiter verarbeitet folgende Datenkategorien:
- Empfänger-Stammdaten: E-Mail-Adresse, Vorname, Nachname, Firma, vom Verantwortlichen definierte Custom-Fields.
- Engagement- und Status-Daten:Opt-In-Zeitstempel, Unsubscribe-Events, Hard- und Soft-Bounce- Events, Spam-Complaint-Events sowie, sofern der Verantwortliche das Öffnungs- bzw. Klick-Tracking je Kampagne aktiviert hat (pro Workspace ab- und anschaltbar), Open-Events und Click-Events.
- Double-Opt-In-Nachweis (zwingend nach UWG § 7): Beim Eintrag und bei der Bestätigung über das Double-Opt-In- Verfahren werden zusätzlich IP-Adresse, User-Agent (Browser-Kennung) und Zeitstempel sowohl der Anmeldung als auch der Bestätigungs-Klick gespeichert. Diese Daten dienen ausschließlich dem werberechtlich zwingenden Einwilligungs-Nachweis (BGH-Rechtsprechung) und werden bis 4 Jahre nach Abmeldung oder Vertragsende aufbewahrt (regelmäßige Verjährung § 195 BGB).
- Versand-Metadaten: SES-Message-IDs, Versand- Zeitstempel, Routing-Status-Logs, vom Mail-Provider zurück- gemeldete Delivery-Status.
Nicht verarbeitet werden besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (etwa Gesundheits-, Religions-, Gewerkschafts- oder politische Daten). Der Verantwortliche verpflichtet sich, derartige Daten nicht über bemailed zu speichern oder zu versenden. Sollte die geplante Nutzung besondere Kategorien einschließen, ist vorher eine ausdrückliche schriftliche Sondervereinbarung mit dem Auftragsverarbeiter zu treffen.
Kategorien betroffener Personen: Newsletter-Empfänger des Verantwortlichen, das heißt dessen Kunden, Interessenten, Mitglieder, Förderer und sonstige Kontakte, deren Daten der Verantwortliche in bemailed einbringt.
§3 Zweck der Verarbeitung
Die Verarbeitung dient ausschließlich dem Versand vom Verantwortlichen verfasster Newsletter-Inhalte an die vom Verantwortlichen hochgeladenen Empfänger sowie der für den ordnungsgemäßen Versand erforderlichen Begleit-Verarbeitung (Bounce-/Complaint-Handling, Tracking sofern vom Verantwortlichen aktiviert, gesetzliche Pflichten wie List-Unsubscribe).
Eine Weiterverarbeitung der Empfänger-Daten zu eigenen Zwecken des Auftragsverarbeiters (z.B. Marketing, Profilbildung, Verkauf an Dritte) findet nicht statt.
§4 Dauer der Speicherung
- Während der Vertragslaufzeit werden die Daten so lange gespeichert, wie der Verantwortliche sie für seinen Versand benötigt.
- Nach Vertragsende werden Empfänger-Daten und Tracking-Logs für maximal 30 Tage als Rückgewinnungsfrist aufbewahrt. Innerhalb dieser Frist kann der Verantwortliche jederzeit eine sofortige Löschung verlangen.
- Nach Ablauf der 30 Tage erfolgt die unwiderrufliche Löschung aller Empfänger-Daten und Tracking-Logs aus den aktiven Systemen. Backups werden im Standard-Backup-Zyklus (siehe §5) überschrieben.
- Versand-Metadaten (Message-ID, Empfänger-Adresse, Versand- Zeitstempel, Versand-Status) werden zum Zweck der Erfüllung handelsrechtlicher Aufbewahrungspflichten nach §147 AO und §257 HGB bis zu 10 Jahre aufbewahrt; sie liegen dann in einem separaten Archiv ohne Verknüpfung mit Tracking-Daten.
§5 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, insbesondere:
- Verschlüsselung in Transit: TLS 1.2 oder höher für sämtliche Mail-Versendungen (AWS-SES-Standard), HTTPS mit HSTS für die gesamte Web-Anwendung.
- Verschlüsselung at-rest: AES-256 für die Datenbank (Supabase-Standard) und für Backups.
- Zutrittskontrolle: Hosting ausschließlich in Cloud-Rechenzentren (AWS, Supabase, Vercel) mit ISO-27001- zertifizierter physischer Sicherheit, EU-Region (Frankfurt,
eu-central-1). Mitarbeiter-Zugriff nur über IAM mit Multi-Faktor-Authentifizierung. - Zugangskontrolle: Pflicht-2FA für alle internen Zugänge, eindeutige Benutzerkonten, regelmäßige Passwort-Rotation, Argon2id-Hashing für Kunden-Passwörter (Supabase Auth).
- Zugriffskontrolle und Datentrennung: Logische Multi-Tenancy über
workspace_idmit Row-Level-Security-Policies in der Postgres- Datenbank: kein Konto kann auf die Daten eines anderen Kontos zugreifen. - Pseudonymisierung: Tracking-Pixel und Click-Tracking-Links verwenden pseudonyme IDs; die Verknüpfung mit der E-Mail-Adresse erfolgt erst serverseitig in der isolierten Workspace-Datenbank.
- Backups: Tägliche automatische Backups in EU-Region, 30 Tage Retention, verschlüsselt.
- Logging und Monitoring: Audit-Log aller datenverarbeitenden Aktionen (90 Tage Retention), Error-Monitoring via Sentry mit PII-Filtering (
sendDefaultPii: false). - Eingabekontrolle: Versand-Aktionen erfordern authentifizierten Login; alle Versand-Triggerings werden revisionssicher protokolliert.
- Mitarbeiter-Verpflichtung: Schriftliche Vertraulichkeitsverpflichtung nach Art. 28 Abs. 3 lit. b DSGVO für alle mit Kundendaten betrauten Personen.
Die TOMs werden regelmäßig auf Aktualität geprüft und an den technischen Fortschritt angepasst. Der Auftragsverarbeiter wird den Verantwortlichen über wesentliche Änderungen rechtzeitig informieren.
§6 Unterauftragsverarbeiter (Subprozessoren)
Der Verantwortliche stimmt der Beauftragung der nachfolgend aufgeführten Unterauftragsverarbeiter ausdrücklich zu. Eine ausführlichere Beschreibung jedes Subprozessors mit Drittland-Mechanismen findet sich unter /subprozessoren.
- AWS, Amazon Web Services EMEA SARL (38 Avenue John F. Kennedy, L-1855 Luxemburg) · Simple Email Service in der Region
eu-central-1(Frankfurt) · Versand- Infrastruktur, Bounce-/Complaint-Verarbeitung. EU-Hosting; DPA enthält SCCs für etwaige US-Mutterkonzern-Zugriffe. - Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992) · Postgres-Datenbank, Auth, Storage: ausschließlich AWS-Frankfurt (
eu-central-1). Für etwaige Drittland-Zugriffe des außereuropäischen Anbieters gelten die SCCs nach Art. 46 Abs. 2 lit. c DSGVO (Bestandteil der Supabase-DPA). - Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) · Hosting der Web-Anwendung (Next.js Edge + Serverless Functions) · Region Frankfurt (
fra1), SCCs + Vercel-DPA, Cloud-Act-Risiko via TIA dokumentiert. - Anthropic PBC (548 Market Street, PMB 90375, San Francisco, CA 94104, USA) · Claude-LLM für die optionalen KI-Vorschläge im Newsletter-Editor (Tonalitäts-Anpassung, Betreffzeilen, Inhalts-Vorschläge). Inputs werden ausschließlich Newsletter-Entwurfs-Texte sein, keine Empfänger-Daten oder Tracking-Logs. SCCs + Commercial-Tier-DPA, kein Model-Training.
- Stripe Payments Europe Ltd (1 Grand Canal Street Lower, Dublin 2, Irland) · Zahlungsabwicklung der Abonnements. Verarbeitet nicht die Empfänger-Daten, sondern ausschließlich Konto- und Rechnungs-Daten des Verantwortlichen.
- IONOS SE (Elgendorfer Straße 57, 56410 Montabaur, Deutschland) · Domain- und DNS-Hosting für
bemailed.desowie die DNS-Setup-Unterstützung für die kundenspezifische Versand-Domain via Domain Connect (1-Klick-Konfiguration von DKIM/SPF/DMARC). - Sentry / Functional Software Inc. (132 Hawthorne Street, San Francisco, CA 94107, USA) · Error- und Performance-Monitoring der Anwendung mit DSGVO-konformer Konfiguration (
sendDefaultPii: false): verarbeitet ausschließlich Stack-Traces und technische Telemetrie, keine Empfänger-Daten. SCCs nach Art. 46 Abs. 2 lit. c DSGVO (Bestandteil der Sentry-DPA); TIA dokumentiert. - Resend Inc. (2261 Market Street #5039, San Francisco, CA 94114, USA) · Versand transaktionaler System- Mails an Konto-Inhaber (Login-Magic-Link, Passwort-Reset, Konto-Einladungen) sowie der Double-Opt-In-Bestätigungs-Mail an Newsletter-Empfänger während eines CSV-Imports mit Double-Opt-In-Liste. Verarbeitet E-Mail-Adresse, Bestätigungs-Token und Mail-Inhalt. SCCs nach Art. 46 Abs. 2 lit. c DSGVO + Resend-DPA; TIA dokumentiert.
- Inngest Inc. (2261 Market Street #4458, San Francisco, CA 94114, USA) · Hintergrund-Job- und Queue- Infrastruktur für den Newsletter-Versand (Batching, Retry, Scheduled Sends). Verarbeitet Empfänger-Adresse und Newsletter- Body während eines Versand-Jobs. Job-Payloads werden zur Wiederholbarkeit kurzfristig persistiert und nach Abschluss gelöscht. SCCs nach Art. 46 Abs. 2 lit. c DSGVO + Inngest-DPA.
- Upstash Inc. (350 Bay Street #100-9606, San Francisco, CA 94133, USA) · Redis-basierter Rate-Limit-Cache für IP-basierten Brute-Force-Schutz an Login, Signup und API-Endpoints. Hosting in der EU (AWS Irland,
eu-west-1). Speichert ausschließlich gehashte IP-Adressen + Counter mit kurzem Zeitfenster. EU-Hosting; DPA enthält SCCs für etwaige US-Mutterkonzern- Zugriffe.
Keine Subprozessoren im Sinne dieses Vertrags sind Dienste, die keine Empfänger-Daten im Auftrag verarbeiten: Plausible Analytics (Reichweitenmessung unserer eigenen Marketing-Webseiten, siehe Datenschutzerklärung) sowie Intuit Inc. (Mailchimp) beim optionalen Listen-Import: Dort ruft bemailed auf ausdrückliche Veranlassung des Verantwortlichen Daten aus dessen eigenem Mailchimp-Konto ab; Mailchimp bleibt dabei Auftragsverarbeiter des Verantwortlichen und wird nicht von uns unterbeauftragt.
Der Auftragsverarbeiter wird mindestens 30 Tage vor Wirksamwerden jeder Änderung des Subprozessor-Bestands den Verantwortlichen per E-Mail informieren. Dem Verantwortlichen steht ein Widerspruchsrecht nach Art. 28 Abs. 2 Satz 2 DSGVO zu; bei Widerspruch ist eine einvernehmliche Lösung anzustreben, gelingt diese nicht, kann der Verantwortliche aus wichtigem Grund kündigen.
§7 Pflichten des Auftragsverarbeiters
- Weisungsgebundenheit: Die Verarbeitung erfolgt ausschließlich auf dokumentierten Weisungen des Verantwortlichen. Soweit eine Weisung nach Auffassung des Auftragsverarbeiters gegen die DSGVO oder andere Datenschutz-Vorschriften verstößt, wird der Verantwortliche unverzüglich informiert.
- Vertraulichkeit: Verpflichtung aller mit der Datenverarbeitung betrauten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
- Sicherheit: Umsetzung und Aufrechterhaltung der in §5 beschriebenen TOMs.
- Unterstützung: Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO), bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen der Aufsichtsbehörde (Art. 35, 36 DSGVO) sowie bei Sicherheitsvorfällen.
- Meldepflicht: Datenpannen (Verletzungen des Schutzes personenbezogener Daten) werden innerhalb von 72 Stunden nach Kenntnis an den Verantwortlichen gemeldet, inkl. der nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen.
§8 Pflichten des Verantwortlichen
- Rechtmäßigkeit der Datenerhebung: Der Verantwortliche stellt sicher, dass die Erhebung und Bereitstellung der Empfänger-Daten auf einer wirksamen Rechtsgrundlage nach Art. 6 DSGVO beruht, in der Regel Einwilligung der Empfänger (Art. 6 Abs. 1 lit. a) bei Marketing-Newslettern oder berechtigtes Interesse (lit. f) im B2B-Kontext unter Beachtung des UWG.
- Double-Opt-In: Soweit gesetzlich oder aufsichtsbehördlich erforderlich, nutzt der Verantwortliche das in bemailed integrierte Double-Opt-In-Verfahren. Bei Import bestehender Listen versichert der Verantwortliche, dass eine wirksame Einwilligung der Empfänger zum Zeitpunkt des Imports vorlag und nachweisbar ist.
- Informationspflichten gegenüber Empfängern: Der Verantwortliche erfüllt die Informationspflichten nach Art. 13 und 14 DSGVO gegenüber den Empfängern (insbesondere eigene Datenschutzerklärung, Hinweis auf bemailed als Auftragsverarbeiter).
- Korrekte Weisungen: Sämtliche Weisungen werden schriftlich oder über die im Konto bereitgestellten Konfigurations-Mechanismen erteilt.
§9 Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Auskunfts- (Art. 15), Berichtigungs- (Art. 16), Lösch- (Art. 17), Einschränkungs- (Art. 18), Datenübertragbarkeits- (Art. 20) und Widerspruchs-Anfragen (Art. 21). Über das Konto können Empfänger-Daten direkt exportiert, korrigiert oder gelöscht werden. Für komplexere Anfragen steht support@bemailed.de zur Verfügung; Bearbeitung innerhalb von 5 Werktagen.
§10 Datenpannen
Sicherheitsvorfälle, die nach Art. 4 Nr. 12 DSGVO als Verletzung des Schutzes personenbezogener Daten gelten, werden dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnis per E-Mail gemeldet. Die Meldung umfasst die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben (Art und Umfang der Verletzung, betroffene Datenkategorien, voraussichtliche Folgen, getroffene oder vorgeschlagene Maßnahmen).
§11 Kontrollrechte
Der Verantwortliche kann nach rechtzeitiger Voranmeldung (mindestens 4 Wochen) die Einhaltung dieses AVV überprüfen. Die Überprüfung kann
- schriftlich durch standardisierte Fragebogen, durch Vorlage aktueller Zertifikate (SOC 2, ISO 27001) der Subprozessoren oder durch von einem unabhängigen Auditor erstellte Prüfberichte,
- oder durch eine Vor-Ort-Prüfung an einem zwischen den Parteien vereinbarten Termin
erfolgen. Der Auftragsverarbeiter kann angemessene Kosten für die Unterstützung in Rechnung stellen, soweit die Prüfung nicht durch einen konkreten Anlass (z.B. Sicherheitsvorfall) ausgelöst wurde.
§12 Löschung und Rückgabe nach Vertragsende
Endet ein kostenpflichtiger Tarif, bleibt das Konto zunächst mit pausierten Funktionen bestehen (siehe AGB §5); die Auftragsverarbeitung besteht in diesem Umfang fort und die Daten bleiben für eine erneute Tarif-Wahl erhalten. Der Verantwortliche kann seine Daten jederzeit selbst exportieren (Self-Service-CSV-Export im Konto).
Die Auftragsverarbeitung endet, wenn der Verantwortliche sein Konto löscht oder die Löschung verlangt. Ab diesem Zeitpunkt gilt eine Rückgewinnungsfrist von 30 Tagen, in der die Daten unverändert vorgehalten werden; danach erfolgt die automatisierte, unwiderrufliche Löschung aller Empfänger-Daten, Tracking-Logs und konfigurationsbezogenen Inhalte aus den aktiven Systemen. Backups werden im Standard-Zyklus überschrieben. Auf Wunsch stellt der Auftragsverarbeiter eine schriftliche Löschbestätigung aus.
Hiervon ausgenommen sind ausschließlich Daten, deren Aufbewahrung gesetzlich vorgeschrieben oder zur Nachweisführung erforderlich ist: die Versand-Metadaten nach §4 (Handelsrecht) sowie die Double-Opt-In-Nachweise nach §2 (Aufbewahrung bis 4 Jahre, regelmäßige Verjährung § 195 BGB).
§13 Schlussbestimmungen
Ergänzend gelten die AGB sowie die Datenschutzerklärung für bemailed. Bei Widersprüchen zwischen AGB und AVV bezüglich der Datenverarbeitung gehen die Regelungen dieses AVV vor (Art. 28 DSGVO als zwingendes Recht).
Es gilt deutsches Recht. Gerichtsstand ist Frankfurt am Main, soweit gesetzlich zulässig.
Stand: 2. Juli 2026 · Version 1.0
