Auftragsverarbeitungsvertrag
AVV nach Art. 28 DSGVO · Stand: 25. Mai 2026
Präambel
Dieser Auftragsverarbeitungsvertrag („AVV“) regelt die datenschutzrechtlichen Beziehungen zwischen dem Kunden („Verantwortlicher“) und Eray Cevikel, Zur Eibe 25, 47802 Krefeld („Auftragsverarbeiter“) bezüglich der Verarbeitung personenbezogener Daten durch die SLYNQ-Plattform.
Der Kunde akzeptiert diesen AVV mit Vertragsschluss zur Nutzung von SLYNQ. Eine gesonderte Unterschrift ist nicht erforderlich. Eine PDF-Fassung kann auf Anfrage zur Verfügung gestellt werden (E-Mail an eray@slynq.pro).
§ 1 Gegenstand und Dauer
(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der SLYNQ-Plattform.
(2) Die Laufzeit dieses AVV entspricht der Vertragslaufzeit für die SLYNQ-Nutzung. Verpflichtungen, die ihrer Natur nach über die Beendigung fortwirken (z.B. Datenlöschung, Verschwiegenheit), bleiben unberührt.
§ 2 Art und Zweck der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten zur:
- Bereitstellung der KI-gestützten Lead-Generierung und Outreach-Funktionen
- Erstellung und Versand von Nachrichten auf der vom Kunden gewählten Plattform
- Speicherung und Auswertung von Konversationsverläufen
- Erstellung von Performance-Statistiken im Kunden-Account
- Versand transaktionaler E-Mails (Co-Pilot-Approval, Lifecycle, Support)
§ 3 Art der personenbezogenen Daten
Verarbeitet werden insbesondere:
- Namen, Berufsbezeichnungen, Unternehmen, öffentliche Profil-URLs der Leads
- Profil-Headlines, Standort, mutuelle Verbindungen, jüngste Aktivität
- Konversationsverläufe (eingehende + ausgehende Nachrichten)
- Lead-Scores und KI-generierte Bewertungen
- Meeting-Daten (Termin, Dauer, Notizen)
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden ausdrücklich NICHT verarbeitet.
§ 4 Kreis betroffener Personen
Betroffene sind:
- Vom Kunden ausgewählte berufliche Kontakte (potenzielle B2B-Geschäftspartner)
- Nutzer des Kunden-Accounts (Account-Inhaber, ggf. Teammitglieder)
§ 5 Rechte und Pflichten des Verantwortlichen
(1) Der Verantwortliche ist allein verantwortlich für die Beurteilung der Zulässigkeit der Datenverarbeitung. Er sichert zu, dass:
- eine Rechtsgrundlage für die Verarbeitung (Art. 6 DSGVO) vorliegt
- Betroffenenrechte gewahrt werden
- erforderliche Einwilligungen eingeholt sind
- die Datenverarbeitung im jeweiligen Verzeichnis der Verarbeitungstätigkeiten dokumentiert ist
(2) Der Verantwortliche ist befugt, Weisungen zur Datenverarbeitung schriftlich (Textform genügt) zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
§ 6 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Daten nur weisungsgemäß und für die vereinbarten Zwecke zu verarbeiten
- alle Mitarbeiter auf die Vertraulichkeit zu verpflichten
- geeignete technisch-organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen (siehe § 9)
- den Verantwortlichen bei Wahrnehmung der Betroffenenrechte zu unterstützen
- den Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen
- den Verantwortlichen bei Datenschutzverletzungen unverzüglich (binnen 72 Stunden) zu informieren
- nach Ende des Auftrags Daten zu löschen oder zurückzugeben (Wahl des Verantwortlichen)
§ 7 Sub-Auftragsverarbeiter und DSGVO-Konformität
(1) Der Verantwortliche erteilt mit Vertragsschluss die allgemeine Genehmigung zur Beauftragung von Sub-Auftragsverarbeitern, die für den Betrieb der SLYNQ-Plattform erforderlich sind (insbesondere Hosting, Datenbank, KI-Verarbeitung, Zahlungsabwicklung, E-Mail-Versand, Job-Queue, Produktanalytik sowie die vom Kunden gewählte Outreach-Plattform).
(2) Der Auftragsverarbeiter sichert zu, ausschließlich Sub-Auftragsverarbeiter einzusetzen, die ein der DSGVO entsprechendes Datenschutzniveau gewährleisten. Mit allen Sub-Auftragsverarbeitern werden Verträge nach Art. 28 DSGVO geschlossen, die ihnen dieselben Datenschutzpflichten auferlegen, die der Auftragsverarbeiter gegenüber dem Verantwortlichen hat. Soweit erforderlich, werden geeignete Garantien (insbesondere EU-Standardvertragsklauseln) für etwaige Übermittlungen in Drittländer abgeschlossen sowie zusätzliche technische und organisatorische Maßnahmen (z.B. Verschlüsselung, Pseudonymisierung) ergänzt.
(3) Eine aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter wird dem Verantwortlichen auf Anfrage per E-Mail an eray@slynq.pro zur Verfügung gestellt. Der Auftragsverarbeiter informiert den Verantwortlichen über die Aufnahme oder den Austausch von Sub-Auftragsverarbeitern mit einer Vorlauffrist von mindestens 14 Tagen per E-Mail. Der Verantwortliche kann der Änderung aus wichtigem Grund widersprechen. Erfolgt kein begründeter Widerspruch, gilt die Änderung als genehmigt.
§ 8 Technisch-organisatorische Maßnahmen
Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen insbesondere:
- Verschlüsselung: Daten werden während der Übertragung (TLS) und im Ruhezustand (AES-256) verschlüsselt
- Zugriffskontrolle: Rollenbasierte Berechtigungen, Row-Level-Security auf Datenbank-Ebene, Mehr-Faktor-Authentifizierung optional
- Mandantentrennung: Logische Trennung der Kundendaten — keine Kreuzlesbarkeit zwischen Accounts
- Pseudonymisierung: Verwendung von UUIDs anstelle von Klarnamen in Logs und internen Identifikatoren
- Backup & Wiederherstellung: Tägliche Snapshots, geografisch replizierte Aufbewahrung
- Audit-Logging: Vollständige Protokollierung administrativer Aktionen (Impersonation, Refund, Plan-Override etc.)
- Verfügbarkeit: Angestrebt 99 % monatlich, Statusüberwachung intern
- Incident-Response: Meldepflicht an Verantwortliche binnen 72 Stunden bei DSGVO-relevanten Vorfällen
- Personal: Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet
- Physische Sicherheit: Einsatz von Rechenzentren mit anerkannten Zertifizierungen (z.B. ISO 27001 / SOC 2)
§ 9 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für eigene Verstöße. Eine gesamtschuldnerische Haftung gegenüber Betroffenen wird nach Maßgabe von Art. 82 Abs. 4 DSGVO im Innenverhältnis nach Verursachungsbeiträgen aufgeteilt.
§ 10 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.
(2) Änderungen bedürfen der Textform.
(3) Es gilt deutsches Recht. Gerichtsstand ist Krefeld.