Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO — Stand: März 2026

§ 1 Gegenstand und Dauer der Verarbeitung

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch LokalFlow (nachfolgend „Auftragsverarbeiter") im Auftrag des Kunden (nachfolgend „Verantwortlicher").

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages. Nach Beendigung des Vertragsverhältnisses werden sämtliche personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der:

• Automatisierten und KI-gestützten Bearbeitung von Kundenkommunikation (E-Mail, WhatsApp, Google Reviews)
• Verwaltung und Speicherung von Kundennachrichten
• KI-basierte Antwortgenerierung auf Grundlage der Wissensdatenbank des Verantwortlichen
• Analyse und Auswertung von Kommunikationsdaten (Sentiment-Analyse, Kategorisierung)
• Bereitstellung von Dashboards und Berichten

§ 3 Art der personenbezogenen Daten

• Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
• Kommunikationsinhalte (Nachrichtentexte, Betreffzeilen)
• Metadaten (Zeitstempel, Absender, Empfänger, Kanal)
• Bewertungsdaten (Google Reviews, Sternebewertungen, Bewertungstexte)
• Benutzerkontodaten (E-Mail, Name, Rolle)

§ 4 Kategorien betroffener Personen

• Endkunden des Verantwortlichen
• Mitarbeiter des Verantwortlichen (Benutzerkonten)
• Geschäftspartner und Interessenten

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
2. Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO)
3. Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
4. Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
5. Nach Abschluss der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)
6. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO)

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

Vertraulichkeit

• Mandantentrennung auf Datenbankebene (Row-Level Isolation)
• Rollenbasierte Zugriffskontrolle (RBAC) mit JWT-Authentifizierung
• Passwörter werden ausschließlich als bcrypt-Hashes gespeichert
• Zugriff auf Produktionssysteme nur über VPN und SSH-Key

Integrität

• Vollständige Audit-Protokollierung aller KI-Aktionen und Datenänderungen
• Automatische Eingabevalidierung auf API-Ebene
• Versionierung aller Datenbankänderungen (Prisma Migrations)

Verfügbarkeit

• Hosting bei Hetzner Cloud (Deutschland, EU) mit 99,9 % SLA
• Automatische Datenbankbackups (täglich)
• Container-basierte Infrastruktur mit automatischem Failover

Verschlüsselung

• TLS 1.3 für alle Datenübertragungen
• Verschlüsselung ruhender Daten auf Datenbankebene
• Sichere Token-Verwaltung (JWT mit konfigurierbarer Ablaufzeit)

§ 7 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

Der Einsatz weiterer Unterauftragsverarbeiter bedarf der vorherigen schriftlichen Zustimmung des Verantwortlichen.

§ 8 Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO).

§ 9 Kontakt

Datenschutzbeauftragter: [PLATZHALTER]
E-Mail: datenschutz@lokalflow.ai [PLATZHALTER]