Auftragsverarbeitungsvereinbarung (AVV)

zwischen dem Kunden (nachfolgend „Kunde“) und

ProfitBoost, eine Marke der condoo Systems OOD, Rilski Manastir 68, 9022 Varna, Bulgarien (nachfolgend „ProfitBoost“).

Kunde und ProfitBoost werden einzeln jeweils als „Partei“ und gemeinsam als „Parteien“ bezeichnet.

§ 1 Gegenstand der Vereinbarung

Der Kunde beauftragt ProfitBoost mit der Erbringung von Dienstleistungen, die in Anlage #1 näher beschrieben sind (im Folgenden die „Dienstleistungen“).

Im Rahmen dieser Leistungen erhält ProfitBoost Zugriff auf personenbezogene Daten des Kunden, wie ebenfalls in Anlage #1 aufgelistet. Daher ist gemäß Artikel 28 Absatz 3 der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) der Abschluss dieser Vereinbarung erforderlich.

ProfitBoost verpflichtet sich, die erhaltenen personenbezogenen Daten unter Einhaltung der Datenschutzregelungen gemäß Abschnitt 2 dieser Vereinbarung zu verarbeiten.

§ 2 Pflichten von ProfitBoost im Hinblick auf Datenschutz

Im Zuge der Dienstleistung erhält ProfitBoost Zugang zu personenbezogenen Daten und fungiert damit als Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO. Der Kunde bleibt Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

ProfitBoost sichert die Einhaltung aller gesetzlichen Datenschutzanforderungen für Auftragsverarbeiter zu – sowohl generell als auch in Bezug auf die im Folgenden spezifizierten Einzelpflichten.

Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich auf dokumentierte Weisung des Kunden und im Rahmen der beauftragten Leistungen. Änderungen der Verarbeitung sind schriftlich oder in Textform durch den Kunden mitzuteilen.

Eine darüber hinausgehende Verarbeitung, insbesondere für eigene Zwecke, ist ProfitBoost ausdrücklich untersagt. Besteht der Verdacht, dass ein Kundenauftrag gegen Datenschutzrecht verstößt, informiert ProfitBoost den Kunden umgehend.

Ist ProfitBoost gesetzlich verpflichtet, personenbezogene Daten an Dritte weiterzugeben, erfolgt – sofern rechtlich zulässig – eine vorherige Information des Kunden.

ProfitBoost trifft angemessene technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen werden regelmäßig überprüft und dokumentiert (vgl. Anlage #2). Nach Vertragsende werden die Unterlagen für 12 Monate aufbewahrt.

Zugriff auf personenbezogene Daten erhalten nur Mitarbeitende oder Beauftragte von ProfitBoost, die sich zur Vertraulichkeit verpflichtet haben. Diese Pflicht bleibt auch über das Ende der Zusammenarbeit hinaus bestehen.

Der Kunde stimmt den in Anlage #3 benannten Sub-Auftragsverarbeitern zu. Über neue Sub-Auftragsverarbeiter informiert ProfitBoost im Vorfeld. Der Kunde kann bei triftigen Gründen widersprechen.

Verträge mit Sub-Auftragsverarbeitern enthalten dieselben Datenschutzverpflichtungen. Auf Anfrage wird Einsicht in relevante Passagen gewährt. ProfitBoost prüft jährlich die Einhaltung der Vorschriften durch Sub-Auftragsverarbeiter.

Ungeachtet der Einbindung Dritter haftet ProfitBoost dem Kunden gegenüber für die Einhaltung der vertraglichen Datenschutzpflichten. Die Haftung ist – soweit gesetzlich zulässig – auf Vorsatz und grobe Fahrlässigkeit sowie maximal auf den im letzten Jahr gezahlten Betrag beschränkt.

Erfolgt eine Datenverarbeitung außerhalb der EU/des EWR, stellt ProfitBoost sicher, dass ein angemessener Schutz gemäß Art. 45 oder 46 DSGVO gegeben ist.

ProfitBoost unterstützt den Kunden bei der Wahrung von Betroffenenrechten (z. B. Löschung, Auskunft) und ggf. bei Datenschutz-Folgenabschätzungen gemäß Art. 35 und 36 DSGVO.

Nach Beendigung der Zusammenarbeit oder auf Weisung des Kunden werden sämtliche Daten und Kopien davon endgültig gelöscht. Die Verpflichtungen aus diesem Abschnitt bleiben bis zur vollständigen Löschung bestehen.

Bei einem Datenschutzvorfall informiert ProfitBoost den Kunden unverzüglich, spätestens innerhalb von 48 Stunden, und unterstützt bei der Erfüllung der Meldepflichten gemäß Art. 33 und 34 DSGVO.

Auf Wunsch stellt ProfitBoost dem Kunden alle Informationen zur Verfügung, die zur Überprüfung der Einhaltung dieser Datenschutzvereinbarung erforderlich sind.

Für den mit dieser Vereinbarung verbundenen Aufwand kann ProfitBoost eine angemessene Vergütung verlangen.

§ 3 Vertraulichkeit

Beide Parteien verpflichten sich zur Verschwiegenheit über sämtliche im Rahmen dieser Vereinbarung bekannt gewordenen Informationen – auch über deren Inhalte und etwaige Geschäftsgeheimnisse.

Diese Verpflichtung gilt zeitlich unbegrenzt über das Ende der Zusammenarbeit hinaus.

§ 4 Einsatz von Sub-Auftragsverarbeitern

Der Kunde erklärt sich damit einverstanden, dass ProfitBoost weitere Sub-Auftragsverarbeiter gemäß Anlage #3 einsetzt.

ProfitBoost verpflichtet sich:

a) Mit jedem Sub-Auftragsverarbeiter eine schriftliche Vereinbarung über Datenschutzstandards zu schließen.

b) Für Verstöße der Sub-Auftragsverarbeiter gegen Datenschutzpflichten einzustehen.

§ 5 Schlussregelungen

Diese Vereinbarung unterliegt dem materiellen Recht der Republik Bulgarien unter Ausschluss internationaler Kollisionsnormen.

Gerichtsstand für alle Streitigkeiten ist Varna (Bulgarien).

Diese Vereinbarung stellt die vollständige Regelung dar und geht abweichenden Bestimmungen in Anhängen oder anderen Vereinbarungen vor.

Sollte eine Bestimmung dieser Vereinbarung unwirksam sein oder werden, bleibt der übrige Inhalt gültig. Die ungültige Klausel wird durch eine rechtswirksame ersetzt, die dem wirtschaftlichen Zweck möglichst nahekommt. Dies gilt auch für etwaige Vertragslücken.

Anlage #1 – Beschreibung der Dienstleistungen und Datenverarbeitung

1. Art der Dienstleistung:

ProfitBoost stellt dem Kunden eine SaaS-Plattform („Software as a Service“) zur Verfügung.

Registrierungsmöglichkeiten:

Kostenloser Testzugang für 15 Tage (bzw. 7 Tage bei Sonderangeboten) mit vollem Funktionsumfang.

Danach kostenpflichtige Nutzung nach Wahl eines Tarifplans, sofern keine Kündigung erfolgt.

2. Zweck der Datenverarbeitung:

Bereitstellung der vereinbarten Plattformfunktionen gemäß ausgewähltem Tarifpaket.

3. Dauer der Verarbeitung:

Die Verarbeitung erfolgt während der Vertragslaufzeit und ggf. darüber hinaus im Rahmen gesetzlicher Aufbewahrungsfristen.

4. Betroffene Personen:

Account-Inhaber: Erstellt das Hauptkonto.

Sub-Accounts/Administratoren: Zugriff je nach Berechtigung durch den Account-Inhaber.

Kontakte im CRM-System: Daten von Kunden, Lieferanten oder Interessenten.

5. Datenkategorien:

Stammdaten wie Name, Firma, Adressen, Rechnungs-/Lieferanschriften

CRM-Felddaten, inklusive frei definierbarer Felder

Daten aus Formularen wie Terminbuchungen, Umfragen oder Opt-in-Prozessen

Hochgeladene Daten (z. B. per CSV)

Hinweis: Die Verantwortung für Art und Umfang der eingegebenen Daten, auch sensibler Natur, liegt ausschließlich beim Kunden.

Anlage #2 – Technische & organisatorische Sicherheitsmaßnahmen

Datenübertragung: 256-Bit SSL-Verschlüsselung.

Vertraulichkeit: Zugriffsrechte nur für autorisierte Mitarbeitende mit Geheimhaltungsverpflichtung.

Verfügbarkeit: Tägliche Backups, Wiederherstellung bei Fehlern oder Löschungen möglich.

Wiederherstellungsprozesse: Daten können aus Backups rekonstruiert werden. Nach 30 Tagen werden gelöschte Daten endgültig entfernt.

Weitere Maßnahmen:

Schulungen für Mitarbeitende

Reaktionsprozesse bei Sicherheitsvorfällen

Monitoring & Audit-Prozesse zur Systemhärtung

Anlage #3 – Sub-Auftragsverarbeiter

Sub-Auftragsverarbeiter Zweck

Highlevel, ProfitBoost SaaS-Plattform

InternetX, condoo E-Mail Domainverwaltung, E-Mail-Postfächer

Google Cloud Hosting Hosting der Plattform, E-Mail-Versand

Google Ireland Ltd. Kalender-Synchronisierung, Google Fonts, ReCaptcha

Facebook Marketing, Tracking (bei Einwilligung)

Stripe Zahlungsabwicklung

OpenAI KI-Funktionen (z. B. FunnelBuilder, Chat, Workflows)

Letzte Aktualisierung: 01.04.2025