Auftragsverarbeitungsvertrag (AVV)

cpcMomentum GmbH

Guttenbrunnstraße 7

71067 Sindelfingen

Deutschland

E-Mail: info@cpcmomentum.com

Telefon: +49 (151) 240 80 576

Handelsregister: Amtsgericht Stuttgart, HRB 747639

(nachfolgend "Auftragnehmer" oder "Verarbeiter")

(1) Gegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich für folgende Zwecke:

1. Feedback-Erfassung: Sammlung und Speicherung von Feedback-Inhalten, die Feedback-Geber über die vom Auftraggeber erstellten Feedback-Umfragen abgeben
2. KI-gestützte Gesprächsführung: Verarbeitung der Chat-Nachrichten durch KI-Assistenten zur strukturierten Feedback-Erhebung
3. Sitzungsverwaltung: Ermöglichung der Wiederaufnahme von Feedback-Sessions innerhalb von 24 Stunden
4. Bereitstellung der Plattform: Technische Bereitstellung und Wartung der FeedbackCollector-Plattform

(2) Dauer

Dieser AVV gilt für die Dauer des Hauptvertrages zwischen Auftraggeber und Auftragnehmer. Der AVV endet automatisch mit Beendigung des Hauptvertrages.

(3) Art der Daten und Kreis der Betroffenen

Die Einzelheiten zur Art der verarbeiteten Daten und zum Kreis der betroffenen Personen ergeben sich aus Anlage 1 zu diesem Vertrag.

(1) Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist durch Unionsrecht oder das Recht eines Mitgliedstaats, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Die Weisungen werden anfänglich durch diesen AVV und die Nutzung der Plattform-Funktionen festgelegt. Der Auftraggeber kann darüber hinaus jederzeit schriftlich oder in Textform (z.B. per E-Mail) Einzelweisungen erteilen.

(2) Vertraulichkeit

Der Auftragnehmer stellt sicher, dass sich alle Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.

(3) Technische und organisatorische Maßnahmen

Der Auftragnehmer implementiert und unterhält angemessene technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen TOMs sind in Anlage 2 dokumentiert.

Der Auftragnehmer ist berechtigt, die TOMs im Rahmen des technischen Fortschritts anzupassen, sofern das Schutzniveau nicht unterschritten wird.

(4) Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen.

Erhält der Auftragnehmer eine Anfrage einer betroffenen Person, leitet er diese unverzüglich an den Auftraggeber weiter und verarbeitet die Anfrage nicht ohne Weisung des Auftraggebers.

(5) Unterstützung bei weiteren Pflichten

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei:

• der Erfüllung der Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO
• der Pflicht zur vorherigen Konsultation mit der Aufsichtsbehörde gemäß Art. 36 DSGVO

Für Unterstützungsleistungen, die über die gesetzlichen Pflichten des Auftragnehmers hinausgehen oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine angemessene Vergütung verlangen.

(6) Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm die Verletzung bekannt wurde.

Die Meldung enthält mindestens:

• eine Beschreibung der Art der Verletzung
• die Kategorien und die ungefähre Zahl der betroffenen Personen
• die Kategorien und die ungefähre Zahl der betroffenen Datensätze
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung
• eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

(7) Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrages löscht oder gibt der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten zurück und löscht vorhandene Kopien, es sei denn, dass nach dem Unionsrecht oder dem Recht eines Mitgliedstaats eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(1) Rechtmäßigkeit der Verarbeitung

Der Auftraggeber versichert, dass er alle erforderlichen Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer geschaffen hat, insbesondere dass er:

• alle notwendigen Informationspflichten gegenüber den Feedback-Gebern erfüllt hat
• alle erforderlichen Einwilligungen der Feedback-Geber eingeholt hat
• die Verarbeitung auf einer anderen Rechtsgrundlage gemäß Art. 6 DSGVO beruht

(2) Weisungen

Der Auftraggeber ist für die Erteilung rechtmäßiger Weisungen verantwortlich. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich und ist berechtigt, die Durchführung der Weisung auszusetzen, bis sie bestätigt oder geändert wird.

(3) Kooperation

Der Auftraggeber arbeitet mit dem Auftragnehmer zusammen, um diesem die Erfüllung seiner Pflichten aus diesem AVV zu ermöglichen.

(1) Allgemeine Genehmigung

Der Auftraggeber erteilt dem Auftragnehmer hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung von Subunternehmern gemäß Art. 28 Abs. 2 DSGVO.

Die aktuell beauftragten Subunternehmer sind in Anlage 3 aufgeführt und gelten als genehmigt. Die jeweils aktuelle Subunternehmer-Liste ist unter folgender Adresse abrufbar:

https://feedback.cpcmomentum.com/subunternehmerliste

(2) Informationspflicht

Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen (Hinzuziehung oder Ersetzung von Subunternehmern) mindestens 30 Tage vor der geplanten Änderung per E-Mail an die im Account hinterlegte E-Mail-Adresse.

(3) Widerspruchsrecht

Der Auftraggeber kann der Beauftragung eines neuen Subunternehmers innerhalb von 14 Tagen nach Erhalt der Mitteilung aus wichtigem datenschutzrechtlichem Grund schriftlich oder in Textform widersprechen.

(4) Folgen eines Widerspruchs

Im Falle eines Widerspruchs ist der Auftragnehmer berechtigt, den Vertrag außerordentlich zu kündigen, da die Leistungserbringung ohne den neuen Subunternehmer technisch nicht möglich ist. Der Auftraggeber erhält eine anteilige Rückerstattung bereits gezahlter Gebühren für den nicht genutzten Zeitraum.

(5) Pflichten gegenüber Subunternehmern

Der Auftragnehmer verpflichtet sich, mit jedem Subunternehmer einen Vertrag abzuschließen, der diesem im Wesentlichen dieselben Datenschutzpflichten auferlegt wie dieser AVV dem Auftragnehmer. Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Erfüllung der Pflichten des Subunternehmers verantwortlich.

(1) Nachweispflicht

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem AVV niedergelegten Pflichten zur Verfügung.

Der Nachweis kann insbesondere erfolgen durch:

• Bereitstellung aktueller Audit-Berichte (z.B. SOC 2)
• Zertifizierungen (z.B. ISO 27001)
• Dokumentation der technischen und organisatorischen Maßnahmen

(2) Inspektionen und Audits

Der Auftragnehmer ermöglicht dem Auftraggeber oder einem von diesem beauftragten Prüfer Inspektionen und Audits, soweit diese zur Überprüfung der Einhaltung dieses AVV erforderlich sind.

Inspektionen sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unangemessen beeinträchtigen. Inspektionen sind auf maximal einmal pro Kalenderjahr beschränkt, es sei denn, es liegt ein begründeter Verdacht auf Verstöße vor.

Die Kosten für Inspektionen trägt der Auftraggeber, es sei denn, die Inspektion deckt wesentliche Verstöße des Auftragnehmers gegen diesen AVV auf.

(1) Datenverarbeitung in der EU

Die Verarbeitung der Feedback-Daten erfolgt auf Servern in Finnland (EU). Das Hosting wird durch Hetzner Online GmbH bereitgestellt.

(2) Drittlandtransfers

Im Rahmen der KI-gestützten Gesprächsführung werden Chat-Nachrichten der Feedback-Geber an folgende Dienstleister in den USA übermittelt:

• OpenAI, LLC (GPT-4.5)
• Anthropic PBC (Claude Haiku)

Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie des EU-US Data Privacy Framework.

Für die Zahlungsabwicklung werden Daten der Account-Inhaber an Stripe, Inc. (USA) übermittelt. Die Übermittlung erfolgt ebenfalls auf Grundlage der EU-Standardvertragsklauseln und des EU-US Data Privacy Framework.

(3) Dokumentation

Die mit den Subunternehmern abgeschlossenen Data Processing Agreements (DPAs) mit den entsprechenden Garantien werden dem Auftraggeber auf Anfrage zur Verfügung gestellt.

(1) Haftung des Auftragnehmers

Der Auftragnehmer haftet für Schäden, die durch eine nicht den Anforderungen der DSGVO entsprechende Verarbeitung personenbezogener Daten entstehen, nach Maßgabe der gesetzlichen Bestimmungen und der im Hauptvertrag vereinbarten Haftungsregelungen.

(2) Haftungsfreistellung

Der Auftraggeber stellt den Auftragnehmer von allen Ansprüchen Dritter frei, die darauf beruhen, dass der Auftraggeber keine ausreichende Rechtsgrundlage für die Verarbeitung geschaffen oder seine sonstigen Pflichten aus diesem AVV verletzt hat.

(1) Änderungen

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform oder Textform. Dies gilt auch für die Änderung dieser Formerfordernis.

(2) Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

(3) Vorrang

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor.

(4) Anwendbares Recht und Gerichtsstand

Für diesen AVV gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, Sindelfingen.

1. Gegenstand und Dauer der Verarbeitung

Gegenstand: Bereitstellung einer SaaS-Plattform zur chatbasierten Feedback-Erhebung

Dauer: Für die Dauer des Hauptvertrages zwischen Auftraggeber und Auftragnehmer

2. Art und Zweck der Verarbeitung

Art der Verarbeitung:

• Erhebung von Feedback-Inhalten über Chat-Dialoge
• Speicherung von Chat-Nachrichten und Feedback-Daten
• Verarbeitung durch KI-Assistenten zur Gesprächsführung
• Bereitstellung der Daten für den Auftraggeber über das Dashboard

Zweck der Verarbeitung:

1. Feedback-Erfassung: Sammlung und Auswertung von Feedback durch den Account-Inhaber
2. KI-gestützte Gesprächsführung: Verarbeitung der Nachrichten durch KI-Assistenten
3. Sitzungsverwaltung: Ermöglichung der Wiederaufnahme von Feedback-Sessions innerhalb von 24 Stunden

3. Kategorien betroffener Personen

Feedback-Geber (Gäste):

• Personen, die über einen öffentlichen Link Feedback abgeben
• Zugang ohne Login (anonym oder mit Namensangabe)
• Keine Registrierung erforderlich

4. Kategorien personenbezogener Daten

Pflichtdaten (bei jeder Feedback-Abgabe):

• Feedback-Inhalt (Chat-Nachrichten)
• Einwilligungszeitpunkt
• Session-Token (temporär, 24 Stunden gültig)
• Feedback-Status (in Bearbeitung/Abgeschlossen/Abgebrochen)

Optionale Daten (nur bei nicht-anonymem Feedback):

• Name des Feedback-Gebers
• Firmenname (optional)

Nicht gespeichert:

• IP-Adressen
• Browser-/Gerätedaten
• Standortdaten
• Cookies (außer Session-Token im localStorage)

5. Besondere Kategorien personenbezogener Daten

Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet, es sei denn, Feedback-Geber geben solche Daten freiwillig in ihren Feedback-Texten an.

6. Speicherdauer

7. Technische und organisatorische Maßnahmen

Siehe Anlage 2 zu diesem Vertrag.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

5. Datenschutz durch Technikgestaltung (Art. 25 DSGVO)

6. Auftragsverarbeiter (Subunternehmer)

Siehe Anlage 3 zu diesem Vertrag.

1. Hosting und Infrastruktur

Rechtsgrundlage für Drittlandtransfer: Nicht zutreffend (Verarbeitung innerhalb der EU)
Auftragsverarbeitungsvertrag: Vorhanden (abgeschlossen am 04.12.2025)

2. Zahlungsabwicklung

Rechtsgrundlage für Drittlandtransfer: EU-US Data Privacy Framework, EU-Standardvertragsklauseln (SCCs)
Auftragsverarbeitungsvertrag: Data Processing Agreement vorhanden (Stand: 18. November 2025)

Verarbeitete Daten:

• E-Mail-Adresse
• Name (Vor- und Nachname)
• Rechnungsadresse
• Zahlungsinformationen (werden nicht auf unseren Servern gespeichert)
• USt-IdNr. (optional)

3. KI-Dienste