Auftragsverarbeitungs-Vertrag (AVV)

1. Vertragsparteien

Dieser Vertrag zur Auftragsverarbeitung wird geschlossen zwischen dem Nutzer bzw. Kunden von FollowUpp (im Folgenden: „Verantwortlicher“) und dem Betreiber von FollowUpp:

Bei Team- und Firmenkonten gilt das jeweilige Unternehmen als Verantwortlicher im Sinne der DSGVO. Die einzelnen Nutzer handeln im Rahmen ihrer Tätigkeit für das jeweilige Unternehmen.

Fabian Schöffel
handelnd unter Schöffel Digital
Dinkelmaate 4a
49828 Neuenhaus
Deutschland

E-Mail: kontakt@followupp.de

2. Gegenstand und Dauer des Vertrages

Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Software-as-a-Service-Anwendung FollowUpp. Der genaue Leistungsumfang ergibt sich aus den Nutzungsbedingungen.

Der Vertrag wird auf unbestimmte Zeit geschlossen und läuft synchron mit dem zugrundeliegenden Nutzungsverhältnis. Eine Beendigung des Hauptvertrages bewirkt automatisch die Beendigung dieses AV-Vertrages.

3. Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zur Bereitstellung, Durchführung und Optimierung der Funktionen von FollowUpp. Dies umfasst insbesondere:

• die automatisierte Verarbeitung und Analyse von eingehenden E-Mails, Dokumenten und sonstigen Inhalten, die vom Verantwortlichen an das System übermittelt werden,
• die kontextbasierte Generierung von Antwortentwürfen, Erinnerungen und Follow-ups unter Einsatz von Künstlicher Intelligenz,
• die Verwaltung von Nutzerkonten, Kontakten, Kommunikationsinhalten sowie systembezogenen Protokoll- und Sicherheitsdaten.

4. Kategorien betroffener Personen und Daten

Betroffene Personen:

Betroffene Personen sind alle Personen, deren Daten über die Software verarbeitet werden. Dazu gehören insbesondere Mitarbeiter, Kunden, Interessenten, Lieferanten, Geschäftspartner und sonstige Kommunikationspartner des Verantwortlichen.

Kategorien von Daten:

Verarbeitet werden alle Daten, die durch die Nutzung des Dienstes, insbesondere durch E-Mail-Inhalte, übermittelt werden. Dazu gehören:

• Stamm- und Kontaktdaten, z. B. Namen, E-Mail-Adressen und Telefonnummern,
• Kommunikations- und Inhaltsdaten, z. B. Betreffzeilen, Textinhalte von E-Mails und Anhänge,
• Dokumenten- und Dateiinhalte aus hochgeladenen oder per E-Mail übermittelten Anhängen, insbesondere PDF-Dokumenten,
• Nutzungs-, Meta- und Protokolldaten, z. B. IP-Adressen, Zeitstempel und Systemlogs.

5. Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten hierzu verpflichtet.

Die Nutzung der Software durch den Verantwortlichen und die Konfiguration des Systems, z. B. die Weiterleitung via BCC, gelten als dokumentierte Weisung.

6. Vertraulichkeit und Verschwiegenheit

Der Auftragsverarbeiter garantiert, dass alle Personen, die mit der Verarbeitung der personenbezogenen Daten des Verantwortlichen befasst sind, vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die konkreten Maßnahmen sind in der Anlage zu diesem Vertrag definiert. Der Auftragsverarbeiter ist berechtigt, die Maßnahmen dem technischen Fortschritt anzupassen, sofern das vertraglich vereinbarte Sicherheitsniveau nicht unterschritten wird.

8. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren und Verhältnismäßigen bei:

• der Erfüllung von Ansprüchen betroffener Personen, z. B. Auskunfts- oder Löschungsrechte,
• der Einhaltung der Pflichten nach den Artikeln 32 bis 36 DSGVO,
• der Sicherheit der Verarbeitung,
• der Meldung von Datenschutzverletzungen,
• Datenschutz-Folgenabschätzungen, sofern erforderlich.

9. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter für Infrastrukturleistungen einzubinden. Dazu gehören insbesondere Cloud-Hosting, E-Mail-Versand, KI-Schnittstellen und APIs.

Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich zur Einhaltung von Datenschutzpflichten, die diesem Vertrag gleichwertig sind.

Die Kerninfrastruktur und das Daten-Hosting von FollowUpp werden bei der ALL-INKL.COM – Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland betrieben. Die Verarbeitung erfolgt ausschließlich in deutschen Rechenzentren.

Für die kontextbasierte Textanalyse, Dokumentenanalyse und Textgenerierung wird die API von OpenAI eingesetzt.

Vor der Übermittlung an OpenAI werden technische Maßnahmen eingesetzt, um personenbezogene Daten soweit möglich zu minimieren. Insbesondere werden E-Mail-Adressen, Telefonnummern, Postanschriften, Internetadressen sowie weitere eindeutig identifizierende Kontaktinformationen automatisiert maskiert oder entfernt, soweit dies mit dem Verarbeitungszweck vereinbar ist.

Der Auftragsverarbeiter stellt über die vertraglichen Vereinbarungen mit OpenAI sicher, dass übermittelte Kundendaten nicht zum Training der KI-Modelle verwendet werden.

Da OpenAI ein US-Anbieter ist, erfolgt die Absicherung des Drittlandtransfers über das EU-US Data Privacy Framework beziehungsweise die jeweils gültigen EU-Standardvertragsklauseln.

10. Löschung und Rückgabe von Daten

Eingehende E-Mails werden nach erfolgreicher Verarbeitung und Übernahme der erforderlichen Informationen automatisiert gelöscht.

Durch den Verantwortlichen gespeicherte Follow-ups, Notizen, Dokumentenzusammenfassungen und sonstige nutzerbezogene Inhalte bleiben bis zur Löschung durch den Verantwortlichen oder bis zur Beendigung des Nutzerkontos gespeichert.

Nach Beendigung des Vertragsverhältnisses löscht der Auftragsverarbeiter die gespeicherten personenbezogenen Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus diesem Vertrag zur Verfügung.

Überprüfungen und Inspektionen durch den Verantwortlichen oder einen von diesem beauftragten Prüfer sind im verhältnismäßigen Rahmen und unter Wahrung von Betriebs- und Geschäftsgeheimnissen des Auftragsverarbeiters zu ermöglichen.

12. Schlussbestimmungen

Dieser Vertrag ist Bestandteil der Nutzungsvereinbarung zwischen den Parteien. Im Falle von Widersprüchen zwischen diesem AV-Vertrag und den Nutzungsbedingungen gehen die Regelungen dieses AV-Vertrages in datenschutzrechtlichen Fragen vor.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage: Technische und organisatorische Maßnahmen (TOM)

Gemäß Art. 32 DSGVO setzt der Auftragsverarbeiter angemessene technische und organisatorische Sicherheitsmaßnahmen ein, um Daten vor Missbrauch, Verlust und unbefugtem Zugriff zu schützen.

Vertraulichkeit

• Verschlüsselte Datenübertragung im Webverkehr über moderne SSL/TLS-Verschlüsselung
• Verschlüsselte Übertragung von E-Mails, soweit technisch unterstützt
• Rollenbasierte Zugriffskontrollen und Berechtigungskonzepte

Integrität

• Protokollierung systemrelevanter Administrations- und Zugriffsvorgänge
• Einsatz moderner Firewalls und regelmäßige Sicherheitsupdates der Server-Infrastruktur

Verfügbarkeit und Belastbarkeit

• Hosting der Anwendung auf Servern in deutschen Rechenzentren
• Regelmäßige Backups zur Absicherung gegen Datenverlust
• Technische Maßnahmen zur Sicherstellung der Verfügbarkeit der Anwendung

Verfahren zur regelmäßigen Überprüfung und Bewertung

• Kontinuierliche technische Wartung
• System-Monitoring
• Zeitnahes Einspielen von Sicherheits-Patches

Stand

Version: 2026-03-25