Auftragsverarbeitungsvertrag (AVV)
Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO · Stand: Juli 2026
Diese Vereinbarung zur Auftragsverarbeitung (nachfolgend „AVV") ist Bestandteil des Vertrages über die Nutzung der Software-as-a-Service-Plattform „Helfwerker" (siehe /agb). Sie wird geschlossen zwischen dem Kunden als datenschutzrechtlich Verantwortlichem (nachfolgend „Verantwortlicher") und der Learndev e.K., Inhaber Marius Helf, Am Hauptbahnhof 16, 60329 Frankfurt am Main, handelnd unter der Bezeichnung „Helfwerker", als Auftragsverarbeiter (nachfolgend „Auftragsverarbeiter"). Mit Abschluss des Vertrages und Annahme der AGB gilt diese AVV als geschlossen.
1. Gegenstand, Art und Zweck der Verarbeitung
(1) Gegenstand der Verarbeitung ist die Bereitstellung und der Betrieb der Plattform, mit der der Verantwortliche eingehende Anfragen seiner Endkunden erfasst, ordnet und bis zur Abnahme bearbeitet.
(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Die Verarbeitung umfasst insbesondere:
- die Entgegennahme und Speicherung von Anfragen über verschiedene Kanäle (Online-Formulare, E-Mail an eine dedizierte Eingangsadresse, telefonische Anrufannahme, manuelle Erfassung durch den Verantwortlichen),
- die Umwandlung von Sprachnachrichten und Telefonanrufen in Text (Transkription),
- die automatisierte Aufbereitung, Klassifizierung, Zusammenfassung und Vorsortierung von Anfragen mithilfe von Verfahren der künstlichen Intelligenz,
- die automatisierte Prüfung von Inhalten auf offensichtlich rechtswidrige oder unsichere Inhalte (Content-Moderation),
- die Speicherung und Auslieferung von Bildern und Dokumenten,
- das Erstellen und den Versand von Angeboten, Nachrichten, Terminvorschlägen und Benachrichtigungen an Endkunden des Verantwortlichen,
- den Betrieb der über den Website-Baukasten erstellten Websites und Formulare des Verantwortlichen einschließlich einer datensparsamen Reichweitenmessung.
(3) Zweck der Verarbeitung ist die Erbringung der vertraglich vereinbarten Leistungen gemäß AGB und Leistungsbeschreibung.
2. Dauer der Verarbeitung
Die Verarbeitung beginnt mit Abschluss des Vertrages und ist auf dessen Laufzeit befristet. Nach Beendigung des Vertrages gelten die Regelungen zur Rückgabe und Löschung nach Abschnitt 8 dieser AVV sowie § 9 Absatz 5 der AGB.
3. Art der personenbezogenen Daten
Gegenstand der Verarbeitung können insbesondere folgende Datenarten sein:
- Stamm- und Kontaktdaten der Endkunden des Verantwortlichen (zum Beispiel Name, Anschrift, Postleitzahl, Ort, E-Mail-Adresse, Telefonnummer),
- Inhalte von Anfragen und der zugehörigen Kommunikation (Freitext, E-Mail-Inhalte, Betreffzeilen, Transkripte von Sprachnachrichten und Telefonaten, Notizen),
- Bilder und Dokumente, die im Rahmen einer Anfrage übermittelt werden (zum Beispiel Fotos eines Schadens oder eines Objekts),
- Metadaten der Kommunikation (zum Beispiel Zeitpunkt, Kanal, Rufnummer, Authentifizierungsergebnisse eingehender E-Mails),
- Termin- und Angebotsdaten,
- technische Nutzungsdaten der vom Verantwortlichen betriebenen Websites im Rahmen einer cookiefreien, datensparsamen Reichweitenmessung (ohne Speicherung von IP-Adressen im Klartext).
Eine gezielte Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht Zweck der Plattform. Soweit der Verantwortliche oder betroffene Personen solche Daten in Freitexten, Bildern oder Aufnahmen einbringen, verarbeitet der Auftragsverarbeiter sie als Teil des jeweiligen Inhalts im Auftrag mit.
4. Kategorien betroffener Personen
- Endkunden und Interessenten des Verantwortlichen (Anfragende),
- Besucher der vom Verantwortlichen über die Plattform betriebenen Websites und Formulare,
- Ansprechpartner und Kontaktpersonen, die in Anfragen genannt werden.
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
(a) personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, auch in Bezug auf die Übermittlung in ein Drittland, es sei denn, er ist hierzu nach dem Recht der Union oder eines Mitgliedstaats verpflichtet; in diesem Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Diese AGB nebst AVV gelten als Erstweisung; weitere Weisungen erteilt der Verantwortliche in Textform;
(b) sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
(c) die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu treffen (siehe Abschnitt 9);
(d) die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter nach Abschnitt 7 einzuhalten;
(e) den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (Kapitel III DSGVO) nachzukommen;
(f) den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus den Art. 32 bis 36 DSGVO zu unterstützen (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation);
(g) den Verantwortlichen unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt;
(h) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht;
(i) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen (siehe Abschnitt 10).
6. Pflichten des Verantwortlichen
(1) Der Verantwortliche ist im Rahmen dieser AVV für die Rechtmäßigkeit der Verarbeitung und für die Wahrung der Rechte betroffener Personen allein verantwortlich. Er stellt insbesondere sicher, dass für die Verarbeitung eine Rechtsgrundlage besteht und dass erforderliche Informationen und Einwilligungen vorliegen (unter anderem hinsichtlich der Aufzeichnung von Telefonaten und des Versands von Werbung).
(2) Der Verantwortliche stellt eine vollständige und zutreffende Datenschutzerklärung sowie ein vollständiges Impressum auf seinen mit der Plattform betriebenen Websites und Formularen bereit.
(3) Weisungen erteilt der Verantwortliche grundsätzlich in Textform. Mündliche Weisungen bestätigt er unverzüglich in Textform.
7. Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Die bei Vertragsschluss eingesetzten Unterauftragsverarbeiter sind in der jeweils aktuellen Liste unter /unterverarbeiter aufgeführt, die als Anhang 1 Bestandteil dieser AVV ist.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens sechs Wochen vorab in Textform und gibt ihm damit die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben. Erhebt der Verantwortliche innerhalb der Frist aus einem wichtigen datenschutzrechtlichen Grund Einspruch und lässt sich keine einvernehmliche Lösung finden, steht dem Verantwortlichen ein Sonderkündigungsrecht hinsichtlich der betroffenen Leistung zu.
(3) Der Auftragsverarbeiter erlegt dem Unterauftragsverarbeiter im Wege eines Vertrages dieselben Datenschutzpflichten auf, die in dieser AVV festgelegt sind, und bleibt gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters verantwortlich.
(4) Erfolgt eine Verarbeitung in einem Drittland ohne Angemessenheitsbeschluss, stellt der Auftragsverarbeiter geeignete Garantien nach Art. 46 DSGVO sicher, insbesondere den Abschluss der Standardvertragsklauseln der EU-Kommission. Angaben zum Verarbeitungsort und zur Übermittlungsgrundlage enthält die Liste unter /unterverarbeiter.
8. Rückgabe und Löschung nach Vertragsende
Nach Beendigung der Verarbeitungsleistungen löscht der Auftragsverarbeiter die personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Dem Verantwortlichen wird für einen Zeitraum von 30 Tagen nach Vertragsende die Möglichkeit zum Export der Daten eingeräumt (§ 9 Absatz 5 AGB). Nach Ablauf dieser Frist werden die Daten nach den üblichen Löschroutinen sowie unter Berücksichtigung der Löschfristen der Unterauftragsverarbeiter gelöscht.
9. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragsverarbeiter trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:
Vertraulichkeit:
- Verschlüsselte Datenübertragung (TLS) für alle Zugriffe auf die Plattform,
- Verschlüsselung ruhender Daten auf der eingesetzten Infrastruktur nach Maßgabe der Unterauftragsverarbeiter,
- rollenbasierte Zugriffskontrolle und Beschränkung des Zugriffs auf das Erforderliche, Zwei-Faktor-Authentifizierung für administrative Zugänge,
- strikte Mandantentrennung: jeder Kunde greift ausschließlich auf die seinem Konto zugeordneten Daten zu; die Zuordnung erfolgt serverseitig anhand der Sitzung,
- Protokollierung sicherheitsrelevanter administrativer Vorgänge (unter anderem des Zugriffs im Support-Fall).
Integrität:
- Zugriffs- und Änderungskontrolle über authentifizierte Schnittstellen,
- Signaturprüfung eingehender Webhooks (zum Beispiel für E-Mail-Eingang und Zahlungsereignisse),
- Schutzmaßnahmen gegen missbräuchliche Zugriffe und automatisierte Angriffe (unter anderem Bot-Schutz, Ratenbegrenzung auf sicherheitsrelevanten Endpunkten).
Verfügbarkeit und Belastbarkeit:
- Betrieb auf einer verteilten, ausfallsicheren Cloud-Infrastruktur mit regelmäßigen Sicherungen,
- Schutz gegen Überlastung und verteilte Angriffe (DDoS-Schutz).
Datensparsamkeit und Löschung:
- die beim Telefonie-Anbieter gespeicherte Kopie einer Anrufaufnahme wird unmittelbar nach der Transkription gelöscht; die Aufnahme selbst wird in der Plattform-Infrastruktur gespeichert, damit der Verantwortliche sie anhören kann, und bleibt bis zu ihrer Löschung durch den Verantwortlichen (bzw. bis zur Löschung des zugehörigen Vorgangs) erhalten; bei eigenen Sprachdiktaten in der App wird die Audioaufnahme nach der Transkription verworfen,
- die Reichweitenmessung der Websites erfolgt cookiefrei und ohne Speicherung von IP-Adressen im Klartext; Rohdaten werden nach kurzer Frist entfernt,
- eingehende E-Mails werden zweckgebunden nur für die dedizierte Eingangsadresse verarbeitet, nicht als Vollzugriff auf ein Postfach.
Verfahren zur regelmäßigen Überprüfung:
- laufende Aktualisierung der eingesetzten Komponenten und Behandlung sicherheitsrelevanter Schwachstellen.
10. Nachweise und Kontrollrechte
(1) Der Auftragsverarbeiter weist die Einhaltung der Pflichten nach Art. 28 DSGVO auf geeignete Weise nach, insbesondere durch Auskünfte und die Vorlage vorhandener Dokumentation zu den technischen und organisatorischen Maßnahmen sowie, soweit vorhanden, durch Nachweise und Zertifikate der eingesetzten Unterauftragsverarbeiter.
(2) Reichen diese Nachweise nicht aus, ermöglicht der Auftragsverarbeiter dem Verantwortlichen oder einem von diesem beauftragten, zur Vertraulichkeit verpflichteten Prüfer nach rechtzeitiger Vorankündigung und zu den üblichen Geschäftszeiten Überprüfungen, ohne den Betrieb unangemessen zu stören. Der Verantwortliche trägt die ihm hierdurch entstehenden Kosten.
11. Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die die im Auftrag verarbeiteten Daten betrifft. Die Meldung enthält, soweit verfügbar, mindestens eine Beschreibung der Art der Verletzung, die betroffenen Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.
12. Haftung und Schlussbestimmungen
(1) Für die Haftung gelten die Regelungen der AGB (§ 11) und die zwingenden Vorgaben des Art. 82 DSGVO.
(2) Bei Widersprüchen zwischen dieser AVV und der AGB gehen hinsichtlich der Datenverarbeitung im Auftrag die Regelungen dieser AVV vor. Im Übrigen gelten die Schlussbestimmungen der AGB (§ 16) entsprechend.
Stand: Juli 2026. Anhang 1 dieser AVV ist die Liste der Unterauftragsverarbeiter unter /unterverarbeiter. Diese AVV ist Bestandteil der AGB.