Zurück

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · EmailFlow OS — ein Dienst der DigifyNow GbR · Stand: Juli 2026

1. Gegenstand und Rollen

(1) Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch die DigifyNow GbR, Grenzweg 9a, 57648 Unnau, Deutschland (nachfolgend „Auftragsverarbeiter") im Auftrag des Kunden (nachfolgend „Verantwortlicher") im Rahmen der Nutzung der Plattform „EmailFlow OS".

(2) Der Kunde ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO für die von ihm in die Plattform eingebrachten Empfängerdaten (Leads) und für die Auswahl der Empfänger sowie die Rechtsgrundlage der Kontaktaufnahme. Der Auftragsverarbeiter verarbeitet diese Daten ausschließlich auf dokumentierte Weisung des Kunden (Art. 28 Abs. 3 lit. a DSGVO).

2. Art, Zweck und Umfang der Verarbeitung

(1) Zweck: Erstellung, Personalisierung, Versand und Auswertung von E-Mail-Kampagnen des Kunden inkl. optionaler personalisierter Videos.

(2) Datenkategorien: Kontakt- und Geschäftsdaten der vom Kunden eingebrachten Empfänger (Name, geschäftliche E-Mail-Adresse, Unternehmen, Website, vom Kunden importierte Zusatzfelder) sowie Versand- und Interaktionsereignisse (Zustellung, Bounce, Abmeldung; Öffnungen/Klicks nur sofern vom Kunden aktiviert).

(3) Betroffene: Geschäftliche Ansprechpartner / Empfänger der Kampagnen des Kunden.

(4) Dauer: Für die Dauer des Nutzungsvertrags; Löschung nach Ziff. 7.

3. Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung des Kunden; Weisungen erfolgen über die Funktionen der Plattform.
  • Vertraulichkeit: Zugriff nur durch zur Vertraulichkeit verpflichtete Personen (Art. 28 Abs. 3 lit. b DSGVO).
  • Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Verschlüsselung gespeicherter API-Schlüssel, Zugriffskontrolle, mandantengetrennte Datenhaltung, TLS-Transportverschlüsselung).
  • Unterstützung des Kunden bei Betroffenenrechten (Art. 12–23 DSGVO) und bei den Pflichten aus Art. 32–36 DSGVO.
  • Unverzügliche Information des Kunden bei Verletzungen des Schutzes personenbezogener Daten.
  • Hinweispflicht (Art. 28 Abs. 3 S. 3 DSGVO): Der Auftragsverarbeiter informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt. Er ist berechtigt, die Ausführung offensichtlich rechtswidriger Weisungen (insb. Versand ohne gültige Rechtsgrundlage) auszusetzen.

4. Pflichten des Kunden

  • Der Kunde stellt sicher, dass für jede Kontaktaufnahme eine gültige Rechtsgrundlage vorliegt (insb. § 7 UWG, Art. 6 DSGVO) und dokumentiert diese (z. B. Double-Opt-in-Nachweise).
  • Der Kunde beachtet Widersprüche und Abmeldungen; die plattformweite Sperrliste darf nicht umgangen werden.
  • Der Kunde pflegt die Pflichtangaben (Firmenblock) für den E-Mail-Footer.

5. Unterauftragsverarbeiter

(1) Der Kunde genehmigt allgemein den Einsatz folgender Kategorien von Unterauftragsverarbeitern: Hosting/Infrastruktur (Railway), E-Mail-Versand (Brevo — über den eigenen Account des Kunden), KI-Texterstellung (OpenAI), Video-Personalisierung (Pitchlane), Zahlungsabwicklung (Stripe).

(2) Über beabsichtigte Änderungen wird der Kunde informiert und kann aus wichtigem Grund widersprechen (Art. 28 Abs. 2 DSGVO). Bei Unterauftragsverarbeitern in Drittländern erfolgt die Übermittlung auf Grundlage geeigneter Garantien (Art. 44 ff. DSGVO, insb. EU-Standardvertragsklauseln / Angemessenheitsbeschlüsse).

6. Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO), in der Regel durch Auskünfte und geeignete Dokumentation.

7. Löschung und Rückgabe

Nach Beendigung des Nutzungsvertrags werden die im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Kunden zurückgegeben oder gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sperrlisten-Einträge (Abmeldungen) dürfen zur dauerhaften Beachtung von Widersprüchen aufbewahrt werden (Art. 21 Abs. 3 DSGVO).

8. Schlussbestimmungen

(1) Dieser AVV wird elektronisch im Onboarding akzeptiert; Zeitpunkt, IP-Adresse und Dokumentversion werden protokolliert. Er gilt für die gesamte Dauer der Nutzung von EmailFlow OS.

(2) Es gilt deutsches Recht. Im Übrigen gelten die AGB.

Impressum Privacy Terms Cookie settings