Auftragsverarbeitungsvertrag (AVV)
Stand: März 2026
1. Gegenstand und Dauer der Verarbeitung
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch Dominik Schwarz Ventures GmbH (nachfolgend „Auftragsverarbeiter") im Auftrag des Kunden (nachfolgend „Verantwortlicher") im Rahmen der Nutzung von Questee.
Die Verarbeitung erfolgt für die Dauer der Nutzung des Dienstes durch den Verantwortlichen. Bei Beendigung des Vertragsverhältnisses endet auch dieser AVV.
2. Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zum Zweck von:
- Bereitstellung der Questee-Plattform (Formulare, Umfragen, Funnels)
- Speicherung und Verwaltung von Formular-Antworten
- AI-gestützte Analyse und Zusammenfassung von Antworten (nur bei Aktivierung durch den Verantwortlichen)
- E-Mail-Benachrichtigungen und Einladungen
- Zahlungsabwicklung über Drittanbieter
3. Art der personenbezogenen Daten
Folgende Datenkategorien werden verarbeitet:
- Kontaktdaten (Name, E-Mail-Adresse)
- Formular-Antworten der Respondenten (Inhalt abhängig vom jeweiligen Formular)
- Nutzungsdaten (IP-Adresse, Browser-Typ, Zeitstempel)
- Zahlungsdaten (über Stripe, keine direkte Speicherung von Kreditkartendaten)
4. Kategorien betroffener Personen
- Kunden des Verantwortlichen (Formular-Ersteller)
- Respondenten (Personen, die Formulare ausfüllen)
- Workspace-Mitglieder des Verantwortlichen
5. Pflichten und Rechte des Verantwortlichen
Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er stellt sicher, dass die betroffenen Personen über die Verarbeitung informiert werden und ggf. erforderliche Einwilligungen eingeholt werden. Der Verantwortliche hat das Recht, Weisungen zur Art, zum Umfang und zum Verfahren der Datenverarbeitung zu erteilen.
6. Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung von Questee gemäß den Nutzungsbedingungen gilt als Weisung. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
7. Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrags fort.
8. Technisch-organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft folgende Maßnahmen zum Schutz personenbezogener Daten:
- Verschlüsselung: TLS 1.3 für alle Datenübertragungen, Verschlüsselung ruhender Daten
- Zugriffskontrolle: Row-Level Security (RLS) für strikte Tenant-Isolation in der Datenbank
- Authentifizierung: Multi-Faktor-Authentifizierung (TOTP, Passkeys/WebAuthn)
- Hosting: Server in Deutschland (Hetzner), DSGVO-konform
- DDoS-Schutz: Cloudflare CDN mit Web Application Firewall
- Rate Limiting: Token-Bucket-basierter Schutz gegen Missbrauch
- Security Headers: Content-Security-Policy, HSTS, Permissions-Policy
- PII-Maskierung: Automatische Maskierung personenbezogener Daten vor AI-Verarbeitung
- Fehler-Tracking: Eigenes System auf eigenem Server (keine Drittanbieter)
- Backups: Regelmäßige Datenbank-Backups mit verschlüsselter Speicherung
9. Unterauftragsverarbeiter
Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu. Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen rechtzeitig.
| Unternehmen | Zweck | Standort | Garantien |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank | Deutschland | DSGVO (EU) |
| Cloudflare Inc. | CDN, DDoS-Schutz | USA | EU-Standardvertragsklauseln (SCCs) |
| Stripe Inc. | Zahlungsverarbeitung | USA | EU-Standardvertragsklauseln (SCCs) |
| Anthropic PBC | AI-Analyse (nur bei Aktivierung + Einwilligung) | USA | EU-Standardvertragsklauseln (SCCs) |
| Brevo (Sendinblue) | E-Mail-Versand (Einladungen, Benachrichtigungen) | Deutschland / Frankreich | DSGVO (EU) |
10. Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch). Anfragen, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an den Verantwortlichen weitergeleitet.
11. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält Art der Verletzung, betroffene Datenkategorien, geschätzte Anzahl betroffener Personen und ergriffene Maßnahmen.
12. Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Vertragsverhältnisses löscht der Auftragsverarbeiter alle personenbezogenen Daten, sofern nicht gesetzliche Aufbewahrungspflichten bestehen. Der Verantwortliche kann vor der Löschung einen Export seiner Daten (JSON/CSV) anfordern. Die Löschung erfolgt spätestens 30 Tage nach Vertragsende.
13. Kontroll- und Prüfrechte
Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen. Prüfungen sind mit angemessener Vorankündigung durchzuführen.
14. Kontakt
Dominik Schwarz Ventures GmbH
Waldemarstr. 5b, 10179 Berlin, Deutschland
E-Mail: [email protected]