# Auftragsverarbeitungs-Vertrag (AVV) — Vorlage

> **⚠ Vorlage zum Anwalt-Review.** Vor produktivem Einsatz von einem
> Datenschutz-Anwalt prüfen lassen (Empfehlung: activeMind, ISiCO,
> datenschutzexperte.de — ab 500–1500 € pauschal). Diese Vorlage erfüllt
> die Pflicht-Inhalte aus Art. 28 DSGVO ist aber nicht abschließend
> rechtsgeprüft.

**Zwischen**

dem **Auftraggeber** — der natürlichen oder juristischen Person, die den Pulse-
Service als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO einsetzt
(im Folgenden „Kunde")

**und**

**Essential Advertising GmbH**, Adenauerallee 2, 61440 Oberursel (Taunus),
HRB 15288, Amtsgericht Bad Homburg v. d. Höhe, USt-ID DE341132023,
vertreten durch den alleinvertretungsberechtigten Geschäftsführer
Daniel Klantke (im Folgenden „Auftragsverarbeiter" oder „EA")

**Kontakt:**
- Tel.: +49 (0) 6172 90 84 747
- Allgemein: mail@essentialadvertising.de
- Datenschutz-Anfragen: datenschutz@essentialadvertising.de

wird folgender Vertrag zur Auftragsverarbeitung geschlossen.

---

## § 1 Gegenstand des Vertrags

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten
durch EA im Auftrag des Kunden im Rahmen des Pulse-Marken-Score-Services
(„Pulse"), erreichbar unter https://pulse.essentialadvertising.de.

(2) Dieser Vertrag ergänzt die zwischen den Parteien abgeschlossenen
Nutzungsbedingungen / Abonnement­vereinbarungen („Hauptvertrag"). Im Falle
von Widersprüchen geht dieser AVV vor.

## § 2 Zweck, Dauer und Art der Verarbeitung

(1) **Zweck der Verarbeitung:** Bereitstellung des Pulse-Service zur
Analyse, Messung und Verbesserung der Marken-Wirkung anhand öffentlich
zugänglicher Website-Inhalte und nutzerseitig eingegebener Marken-Profil-
Daten.

(2) **Art der Verarbeitung:** Erheben, Speichern, Verändern, Auslesen,
Abfragen, Verwenden, Offenlegen durch Übermittlung an Subprozessoren,
Anordnen, Verknüpfen, Einschränken, Löschen, Vernichten — jeweils
ausschließlich im Rahmen der Vertragsdurchführung.

(3) **Dauer:** Der AVV läuft auf unbestimmte Zeit und endet automatisch
mit dem Hauptvertrag. Bei Vertragsende: siehe § 8 (Löschung / Rückgabe).

## § 3 Datenkategorien und Betroffene

(1) **Datenkategorien:**
- Account-Stammdaten des Kunden (Name, E-Mail-Adresse)
- Marken-Profil-Daten (URL, Branchen-Code, Marken-Tiefe-Eingaben)
- Audit-Snapshots (gecrawlte Website-Inhalte, Score-Werte, Cluster-Scores,
  Persona-Eindrücke)
- AI-generierte Verbesserungs-Vorschläge
- Aktivitäts-Logs (Aktionen im Portal, Login-Zeitpunkte)

(2) **Betroffene Personen:**
- Mitarbeiter:innen des Kunden mit Pulse-Account-Zugriff
- Indirekt: Personen, die in den vom Kunden eingegebenen Brand-Texten
  namentlich erwähnt werden (z. B. Geschäftsführungsbiografien auf der
  gecrawlten Website)

## § 4 Rechte und Pflichten des Kunden

(1) Der Kunde ist Verantwortlicher im Sinne der DSGVO. Er entscheidet
allein über die Rechtmäßigkeit der Verarbeitung und die Wahrung der
Betroffenenrechte.

(2) Der Kunde benennt EA gegenüber Weisungen schriftlich (E-Mail an
datenschutz@essentialadvertising.de genügt). EA bestätigt den Erhalt
binnen 2 Werktagen.

(3) Der Kunde hat ein Recht zur Kontrolle der Verarbeitung (§ 11). EA
unterstützt mit angemessenen Auskünften und Dokumentation.

## § 5 Allgemeine Pflichten des Auftragsverarbeiters

EA verpflichtet sich:

1. **Vertraulichkeit:** Alle mit der Verarbeitung befassten Personen sind
   schriftlich zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).
2. **Technische und organisatorische Maßnahmen (TOMs):** Die Maßnahmen
   gemäß Art. 32 DSGVO sind in **Anlage 1 (TOMs)** dokumentiert.
3. **Weisungsgebundenheit:** Die Verarbeitung erfolgt ausschließlich auf
   dokumentierte Weisung des Kunden, sofern keine gesetzliche Pflicht
   abweichendes erfordert (letztere wird vor Verarbeitung mitgeteilt).
4. **Unterstützung:** EA unterstützt den Kunden bei der Wahrnehmung der
   Betroffenenrechte (Art. 12–22 DSGVO) und bei Datenschutz-Folgenabschätzungen
   (Art. 35 DSGVO).
5. **Meldepflicht:** Datenschutz-Vorfälle werden binnen 24 Stunden nach
   Kenntnisnahme an den Kunden gemeldet (datenschutz-Email + telefonisch
   bei kritischen Vorfällen).
6. **Löschung/Rückgabe:** Bei Vertragsende werden alle Kundendaten innerhalb
   von 30 Tagen unwiderruflich gelöscht oder auf Wunsch im JSON-Format
   exportiert.

## § 6 Subprozessoren

(1) Der Kunde stimmt der Beauftragung folgender Subprozessoren zu, deren
aktuelle Liste unter https://pulse.essentialadvertising.de/subprozessoren
abrufbar ist:

- **Vercel Inc.** (Hosting, Frankfurt EU)
- **Supabase Inc.** (Datenbank, Frankfurt EU)
- **Anthropic PBC** (LLM-Auswertung, USA — SCCs + TIA)
- **Resend Inc.** (Transaktions-Email, USA — SCCs + TIA)
- **Stripe Payments Europe Ltd.** (Zahlungen, Irland EU)
- **Sentry / Functional Software Inc.** (Monitoring, EU-Region)
- **Browserless** (Headless-Crawl, USA — SCCs)
- **Serper.dev** (Google-SERP-API, USA — SCCs)

(2) Neue oder geänderte Subprozessoren werden **mindestens 30 Tage vorab**
per E-Mail mitgeteilt. Der Kunde hat ein **Widerspruchsrecht** nach
Art. 28 Abs. 2 Satz 2 DSGVO. Bei Widerspruch wird der Hauptvertrag
einvernehmlich beendet oder eine alternative Lösung gefunden.

(3) EA stellt sicher, dass jeder Subprozessor durch einen vergleichbaren
Datenschutz-Vertrag gebunden ist (Art. 28 Abs. 4 DSGVO).

(4) Bei Drittland-Übermittlungen (außerhalb EU/EWR) sind
**Standardvertragsklauseln (SCCs)** der EU-Kommission abgeschlossen und
ein **Transfer Impact Assessment (TIA)** dokumentiert (Anlage 2).

## § 7 Standort der Datenverarbeitung

(1) Primäre Verarbeitung: **EU-Region** (Vercel Frankfurt + Supabase
Frankfurt + Stripe Irland).

(2) Drittland-Übermittlung an: USA (Anthropic, Resend, Browserless, Serper,
Sentry), abgesichert durch SCCs + TIA.

## § 8 Löschung und Rückgabe

(1) Nach Vertragsende oder auf Weisung des Kunden werden sämtliche
Kundendaten innerhalb von 30 Tagen unwiderruflich gelöscht.

(2) **Ausnahme:** Gesetzliche Aufbewahrungspflichten (z. B. handels- oder
steuerrechtlich) bleiben unberührt. Betroffene Daten werden gesperrt und
nach Ablauf gelöscht.

(3) Auf Wunsch erhält der Kunde vor Löschung einen vollständigen
JSON-Export aller Daten via Self-Service unter /portal/settings.

## § 9 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO und den Bestimmungen des
Hauptvertrags. Im Innenverhältnis trägt jede Partei den Anteil, der ihrer
Verantwortlichkeit entspricht.

## § 10 Kontrollrechte des Kunden

(1) Der Kunde hat das Recht, sich vor Beginn der Verarbeitung und während
der Laufzeit von der Einhaltung der hier vereinbarten Maßnahmen zu
überzeugen.

(2) EA stellt auf Anfrage zur Verfügung:
- Aktuelle TOM-Dokumentation
- Auditberichte der Subprozessoren (sofern verfügbar)
- Vor-Ort-Audits sind nach Vorankündigung von 4 Wochen möglich; die Kosten
  trägt der anfragende Kunde, es sei denn, die Prüfung deckt einen
  wesentlichen Verstoß auf.

## § 11 Datenschutz-Folgenabschätzung

EA unterstützt den Kunden bei der Erstellung einer Datenschutz-
Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durch Bereitstellung der
notwendigen Informationen über die Verarbeitung.

## § 12 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform
(Textform genügt — E-Mail mit Bestätigung).

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit
der übrigen Bestimmungen unberührt.

(3) **Gerichtsstand:** Frankfurt am Main.

(4) **Anwendbares Recht:** Recht der Bundesrepublik Deutschland.

---

## Anlagen

- **Anlage 1:** Technische und organisatorische Maßnahmen (TOMs) — siehe
  `docs/legal/TOMs.md`
- **Anlage 2:** Transfer Impact Assessment (TIA) — siehe `docs/legal/TIA-*.md`
- **Anlage 3:** Subprozessor-Liste — abrufbar unter
  https://pulse.essentialadvertising.de/subprozessoren

---

**Unterschriften:**

Auftraggeber (Kunde):
___________________________
Name, Position, Datum

Auftragsverarbeiter (Essential Advertising GmbH):
___________________________
Daniel Klantke, Geschäftsführer, Datum