top of page

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

 

zwischen

 

dem Nutzer, der die Dienstleistungen der Plattform Richy (betrieben durch die Up First GmbH) nutzt oder eine Lead-Recherche beauftragt,

— und —
 

Up First GmbH (Produkt-/Dienstleistungsname: „Richy“)

Anschrift: Baierbrunner Str. 39, 81379 München 

HR: HRB 304676 ,
vertreten durch die Geschäftsführer Florian Schulten und Luis Zillich


E‑Mail (Datenschutz): info@go-upfirst.com


(im Folgenden „Auftragsverarbeiter“ bzw. „AV“)


Dieser AVV ergänzt den zwischen den Parteien bestehenden Hauptvertrag (z. B. Angebot/Leistungsbeschreibung/AGB) über Leistungen zur Lead‑Recherche, Datenanreicherung und CRM‑Automatisierung. Im Konfliktfall gehen die Regelungen dieses AVV den AGB vor.

 

1. Gegenstand, Dauer, Ort der Verarbeitung

1.1 Gegenstand. Der AV verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten zur Durchführung von Lead‑Recherche, Profil‑/Firmendaten‑Anreicherung, Datenkonsolidierung, Dubletten‑Management, Qualifizierung/Scoring sowie technischem Sync in die Systeme des Verantwortlichen (z. B. CRM/ATS/Marketing‑Automation) einschließlich Logging, Monitoring und Fehlerbehebung.

1.2 Dauer. Dieser AVV beginnt mit Zustimmung der Nutzungsbedingungen und gilt für die Laufzeit des Hauptvertrags. Nach Vertragsende gelten die Regelungen zur Löschung/Rückgabe (Ziff. 10).

1.3 Verarbeitungsorte. Grundsätzlich EU/EWR. Eine Verarbeitung in Drittländern erfolgt nur, sofern (i) in Anlage 2 als Unterauftragsverarbeiter benannt und (ii) geeignete Garantien i. S. v. Art. 44 ff. DSGVO bestehen (insb. EU‑SCC), vgl. Anlage 3.

 

2. Art und Zweck der Verarbeitung; Datenkategorien; Betroffene

2.1 Zweck. Durchführung der in 1.1 beschriebenen Leistungen ausschließlich auf dokumentierte Weisung des Verantwortlichen.

2.2 Datenkategorien.

  • Berufsbezogene Kontaktdaten: Name, berufliche E‑Mail, Telefonnummer(n), Position/Funktionsbezeichnung, Abteilung, LinkedIn‑/Web‑Profile (sofern öffentlich/rechtmäßig verfügbar), dienstliche Anschrift.
     

  • Firmendaten/Metadaten: Unternehmen, Branche, Größe, Standorte, Websites, Karriere‑/Stellenanzeigen‑Informationen, Quellen‑URLs, Recherche‑Zeitstempel, System‑IDs, Nutzungs‑/Protokolldaten.
     

2.3 Kategorien betroffener Personen. Mitarbeiter/Ansprechpartner von Unternehmen (B2B), Bewerber‑/Kandidatenkontakte (sofern vom Verantwortlichen bereitgestellt), sonstige vom Verantwortlichen benannte Betroffene.

2.4 Besondere Kategorien. Es werden keine besonderen Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO verarbeitet. Der Verantwortliche übermittelt dem AV solche Daten nicht; andernfalls ist vorab eine schriftliche Erweiterung dieses AVV erforderlich.

 

3. Rollen, Weisungen, Verantwortlichkeiten

3.1 Verantwortlicher. Der Kunde ist Verantwortlicher i. S. d. DSGVO. Er trägt die Verantwortung für Rechtmäßigkeit, Transparenz (Art. 12–14 DSGVO), Rechtsgrundlage (z. B. berechtigtes Interesse, Einwilligung), kanalbezogene Zulässigkeit (insb. UWG/ePrivacy) und Betroffenenrechte.

3.2 Auftragsverarbeiter. Der AV verarbeitet Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weist der AV auf aus seiner Sicht rechtswidrige Weisungen hin, ruhen die entsprechenden Verarbeitungshandlungen bis zur Klärung.

3.3 Weisungsform. Weisungen werden schriftlich in Ticket/E‑Mail/Vertrag/Tool‑Konfiguration dokumentiert. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

3.4 Marketing‑Gating (kanalbezogen). Der AV führt keine eigenständigen Marketing‑/Kontaktmaßnahmen durch. Der AV implementiert auf Weisung technische Gates (z. B. „keine E‑Mail ohne Einwilligung“, Sperrlisten/Opt‑outs, DNC‑Flags) und synchronisiert diese mit den Systemen des Verantwortlichen.

 

4. Vertraulichkeit & Sicherheit

4.1 Vertraulichkeit. Der AV verpflichtet alle mit der Verarbeitung betrauten Personen schriftlich auf Vertraulichkeit und auf die Beachtung des Datengeheimnisses.

4.2 TOM (Art. 32 DSGVO). Der AV unterhält geeignete technische und organisatorische Maßnahmen gemäß Anlage 1 (Stand: 13.10.2025). Änderungen, die das Sicherheitsniveau nicht wesentlich verringern, bleiben vorbehalten.

4.3 Datenschutzverletzungen. Der AV meldet dem Verantwortlichen unverzüglich, idealerweise binnen 24 Stunden, Verletzungen des Schutzes personenbezogener Daten mit den in Art. 33 Abs. 3 DSGVO genannten Inhalten.

 

5. Unterstützungspflichten des AV

Der AV unterstützt den Verantwortlichen angemessen bei:

  • Auskunft/Berichtigung/Löschung/Einschränkung/Übertragbarkeit/Widerspruch (Art. 15–22 DSGVO),
     

  • Sicherheits‑/Datenschutz‑Folgenabschätzungen (Art. 35/36 DSGVO),
     

  • Erfüllung von Informationspflichten bei indirekter Erhebung (Art. 14 DSGVO) im Rahmen der durch den Verantwortlichen vorgegebenen Prozesse,
     

  • Nachweis‑ und Dokumentationspflichten (Art. 5 Abs. 2, Art. 24, Art. 30 DSGVO).
     

Aufwände, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, werden angemessen vergütet.

 

6. Unterauftragsverarbeiter (Sub‑Processor)

6.1 Allgemeine Genehmigung. Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern (Art. 28 Abs. 2 DSGVO), wie in Anlage 2 gelistet. Der AV informiert den Verantwortlichen vorab (mind. 14 Tage) über geplante Änderungen; der Verantwortliche kann aus wichtigem Grund widersprechen.

6.2 Gleichwertige Pflichten. Der AV verpflichtet Unterauftragsverarbeiter vertraglich zu mindestens gleichwertigen Datenschutzpflichten inkl. TOM, Audit‑/Informationsrechten, Löschung, Drittlandgarantien (SCC).

6.3 Drittlandübermittlungen. Bei Übermittlungen in Drittländer stellt der AV geeignete Garantien sicher (SCC; zusätzliche Maßnahmen), siehe Anlage 3.

 

 

7. Kontrollen, Nachweise, Audits

7.1 Nachweise. Der AV stellt auf Anfrage geeignete Nachweise zur Umsetzung der TOM und zur Einhaltung dieses AVV bereit (z. B. Policies, Protokolle, Pen‑Test‑Berichte/Exzerpte, Zertifikate, SOC/ISO‑Ausschnitte, sofern vorhanden).

7.2 Audits. Der Verantwortliche ist berechtigt, Audits/Inspektionen (auch vor Ort) nach angemessener Vorankündigung (i. d. R. 14 Tage) während üblicher Geschäftszeiten durchzuführen. Audits erfolgen unter Wahrung von Betriebs‑/Geschäftsgeheimnissen; Ergebnisse, die Dritte betreffen, können geschwärzt werden. Häufigkeit i. d. R. 1× pro 12 Monate.

 

8. Datenrückgabe und Löschung

8.1 Ende der Verarbeitung. Nach Vertragsende (oder auf Weisung) löscht oder gibt der AV sämtliche personenbezogenen Daten an den Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

8.2 Löschkonzept. Der AV unterhält ein dokumentiertes Lösch‑/Aufbewahrungskonzept (Regel‑Löschfristen, Sperrung statt Verarbeitung, Backup‑Löschfenster). Löschungen werden protokolliert.

 

9. Haftung

Die Parteien haften nach den gesetzlichen Bestimmungen. Der AV haftet für Verstöße eigener Pflichtverletzungen und der von ihm eingesetzten Unterauftragsverarbeiter nach Maßgabe der DSGVO (Art. 82) und des Hauptvertrags.

 

10. Schlussbestimmungen

10.1 Schriftform. Änderungen/Ergänzungen dieses AVV bedürfen der Schriftform (auch elektronisch).

10.2 Vorrang. Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen gehen die Regelungen dieses AVV vor.

10.3 Anwendbares Recht/Gerichtsstand. Deutsches Recht; Gerichtsstand gemäß Hauptvertrag.

 

11. Inkrafttreten und Unterzeichnung

Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil des Hauptvertrags zwischen den Parteien

und tritt mit dessen Unterzeichnung in Kraft.

Die Zustimmung des Auftraggebers zur Auftragsverarbeitung erfolgt durch die Unterzeichnung des Hauptvertrags / Angebots,

welches ausdrücklich auf diese „Anlage 1 – Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO)“ verweist.

Eine gesonderte Unterschrift unter diesem Dokument ist nicht erforderlich.


 

Anlage 1 – Technische und organisatorische Maßnahmen (TOM)

(Beispielhafte, anpassbare Maßnahmen. Konkrete Umsetzung/Tools bitte ergänzen.)

Organisatorisch

  • Datenschutz‑Policy, Rollen‑/Berechtigungskonzept, Need‑to‑know‑Prinzip.

  • Vertraulichkeitsverpflichtungen, Schulungen min. jährlich; On‑/Offboarding‑Checklisten.

  • Lieferanten‑/Sub‑Processor‑Management (DPA/SCC‑Prüfung, jährliche Reviews).

Zutritts-/Zugangskontrolle

  • Rechenzentrum (ISO 27001) bei Cloud‑Providern; VPN/MFA für Adminzugänge.

  • Starke Authentifizierung (MFA), Passwort‑Richtlinie, SSO wo möglich.

Zugriffskontrolle & Berechtigungen

  • Rollenbasiert (RBAC), Least Privilege, 4‑Augen‑Prinzip für produktive Änderungen.

  • Regelmäßige Rezertifizierung von Berechtigungen; Session‑Timeouts.

Weitergabekontrolle

  • TLS ≥1.2 für Transport; Verschlüsselung ruhender Daten (z. B. AES‑256 bei Cloud‑Speichern).

  • DLP‑Regeln, Freigabe‑/Export‑Policies, Protokollierung von Exports/Downloads.
     

Eingabekontrolle/Protokollierung

  • Änderungs‑/Zugriffslogs mit Zeitstempel, unveränderliche Audit‑Trails (sofern systemseitig).

  • Überwachung auf auffällige Aktivitäten, Alerting.
     

Auftragskontrolle

  • Verarbeitung ausschließlich gemäß dokumentierter Weisung (Ticket/Runbook).

  • Vertrags‑/Weisungsmanagement, jährliche Reviewprozesse.
     

Verfügbarkeitskontrolle

  • Georedundante Backups, Wiederherstellungstests, RTO/RPO‑Ziele; Patch‑/Vulnerability‑Management.

  • Incident‑/BCP‑/DR‑Pläne, Eskalationsmatrix.
     

Trennungskontrolle & Datenminimierung

  • Strikte Mandantentrennung pro Kunden‑Workspace/Sub‑Account.

  • Pseudonymisierung/Maskierung in Nicht‑Produktivsystemen.

  • Speicherbegrenzung: Lösch‑/Archivregeln (z. B. 6–12 Monate ohne Reaktion).
     

Zusätzliche Maßnahmen bei Drittlandtransfers

  • Standardvertragsklauseln (EU 2021/914, Modul 2/3) mit TIA (Transfer Impact Assessment).

  • Schlüsselverwaltung ausschließlich in EU/EWR, soweit technisch möglich.

  • Minimierung auf berufliche Kontaktdaten; keine sensiblen Daten; Zugriff nach Need‑to‑know

RICHY.AI

Weniger Recherche, mehr Umsatz

Kontakt

Tölzer Str. 30
81379 München 

Anfragen:
+49 (0) 178 5587660

powered by
Up First GmbH

Kontakt:
info@richy-ai.com

AVV

© 2025 RICHY.AI powered by Up First GmbH

bottom of page