Auftragsverarbeitungsvertrag (AVV)

zwischen dem Kunden als Verantwortlichem im Sinne des Art. 4 Nr. 7 DSGVO (nachfolgend „Auftraggeber“) und

Ersin Kurt
EVA Digital (in Gründung)
Lütgendortmunder Hellweg 16
44388 Dortmund
E-Mail: kontakt@digitalisierungsstube.de

als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO (nachfolgend „Auftragnehmer“).

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand dieses Auftragsverarbeitungsvertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „EVA — Digitaler Versicherungsbegleiter“.

1.2 Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages (SaaS-Nutzungsvertrag gemäß den AGB). Dieser AVV endet automatisch mit Beendigung des Hauptvertrages, unbeschadet der in Ziffer 10 geregelten Löschpflichten.

2. Art und Zweck der Verarbeitung

2.1 Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung und Verwaltung von Kundenstammdaten der Endkunden des Auftraggebers;
• Erfassung, Speicherung und Auswertung von Check-in-Antworten zu Lebensveränderungen;
• Analyse der Check-in-Daten durch die hybride Regelengine zur Ableitung versicherungsrelevanter Handlungsanlässe;
• Erstellung von Zusammenfassungen und Priorisierungen mittels KI-Unterstützung (nur mit anonymisierten Daten);
• Generierung IDD-konformer Beratungsdokumentationen als PDF;
• Versand von Einladungen, Erinnerungen und Benachrichtigungen per E-Mail und Push-Notification.

2.2 Zweck der Verarbeitung ist die Unterstützung des Auftraggebers bei der proaktiven Erkennung versicherungsrelevanter Lebensveränderungen seiner Bestandskunden und der Ableitung priorisierter Handlungsanlässe.

3. Art der personenbezogenen Daten

3.1 Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

• Stammdaten: Name, Vorname, Anrede, Geburtsdatum
• Kontaktdaten: E-Mail-Adresse, Telefonnummer, Anschrift
• Familienverhältnisse: Familienstand, Anzahl und Alter der Kinder, Veränderungen im Familienstand
• Berufsdaten: Berufsbezeichnung, Beschäftigungsstatus, Arbeitgeberwechsel, Selbstständigkeit
• Einkommensverhältnisse: Einkommenskategorien (Bereiche, keine exakten Beträge), wesentliche Veränderungen
• Wohnsituation: Wohnform (Miete/Eigentum), Umzug, Immobilienerwerb
• Gesundheitsindikatoren: Ausschließlich als allgemeine Risikohinweise, keine Diagnosen, keine Gesundheitsdaten im Sinne des Art. 9 DSGVO.
• Nutzungsdaten: Zeitpunkt und Häufigkeit der Check-in-Teilnahme, Interaktionen mit der Plattform

4. Kategorien betroffener Personen

Die betroffenen Personen umfassen:

• Endkunden (Versicherungsnehmer): Bestandskunden des Auftraggebers, die an den Check-ins über die EVA-PWA teilnehmen.
• Mitarbeiter des Auftraggebers: Nutzer des Makler-Dashboards (Makler, Mitarbeiter des Maklerbüros).

5. Pflichten des Auftragnehmers (Auftragsverarbeiter)

5.1 Der Auftragnehmer verpflichtet sich:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
• sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben;
• die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (vgl. Ziffer 8);
• den Auftraggeber bei der Erfüllung der Betroffenenrechte nach Art. 15–22 DSGVO zu unterstützen;
• den Auftraggeber unverzüglich zu informieren, falls eine Weisung gegen die DSGVO verstößt.

5.2 Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO) innerhalb von 24 Stunden nach Bekanntwerden.

6. Pflichten des Auftraggebers (Verantwortlicher)

• die Rechtmäßigkeit der Datenverarbeitung sicherzustellen;
• die erforderlichen Einwilligungen seiner Endkunden für die Verarbeitung über EVA einzuholen;
• seine Endkunden ordnungsgemäß über die Datenverarbeitung zu informieren (Art. 13, 14 DSGVO);
• sicherzustellen, dass über die Check-ins keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO erhoben werden;
• die Weisungen an den Auftragnehmer in Textform zu erteilen.

7. Unterauftragsverarbeiter

7.1 Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Unterauftragsverarbeiter hinzuzuziehen. Änderungen werden mindestens 30 Kalendertage im Voraus mitgeteilt.

7.2 Aktuelle Unterauftragsverarbeiter:

8. Technische und Organisatorische Maßnahmen (TOMs)

• Transportverschlüsselung: TLS 1.2+ für sämtliche Datenübertragungen
• Verschlüsselung ruhender Daten: AES-256 (Supabase)
• Row-Level Security (RLS) auf Datenbankebene mit tenant_id-basierten Policies
• JWT-basierte Authentifizierung mit kurzen Token-Laufzeiten
• Rollenbasiertes Zugriffskonzept (Admin, Makler, Mitarbeiter)
• Anonymisierung von Daten vor Übermittlung an KI-Dienstleister
• Automatische Backups (Supabase, tägliche Point-in-Time-Recovery)
• Uptime-Monitoring und automatische Alarmierung
• Fehlerüberwachung durch Sentry (EU Data Center)

9. Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte gemäß Art. 15–22 DSGVO, insbesondere beim Auskunftsrecht (Art. 15), Berichtigungsrecht (Art. 16), Löschungsrecht (Art. 17), Datenübertragbarkeit (Art. 20) und Einschränkungsrecht (Art. 18).

10. Löschung und Rückgabe der Daten

Nach Beendigung des Hauptvertrages stellt der Auftragnehmer alle personenbezogenen Daten für 30 Tage zum Export bereit. Spätestens 90 Tage nach Vertragsende werden sämtliche Daten unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11–13. Kontrolle, Haftung und Schlussbestimmungen

Audits sind mit 30 Tagen Vorankündigungsfrist anzukündigen. Die Haftung richtet sich nach den AGB. Es gilt deutsches Recht, Gerichtsstand ist Dortmund. Änderungen bedürfen der Textform.