Rechtliches
Auftragsverarbeitungsvertrag
DSGVO Art. 28 - operative Baseline-Version, vor Produktivlaunch anwaltlich geprüft.
Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28
Version: v1.0 Stand: 20.04.2026
1. Parteien
Auftraggeber ist das Unternehmen bzw. die Organisation, die CheckRuf als registrierte Kundin oder registrierter Kunde nutzt. Der Auftraggeber ist datenschutzrechtlich Verantwortlicher im Sinne der DSGVO.
Auftragsverarbeiter ist:
StartklarWeb Inhaber: Hasan Mohsen (Einzelunternehmen) Borken, Nordrhein-Westfalen, Deutschland E-Mail: support@checkruf.de
Hinweis: StartklarWeb ist ein Einzelunternehmen, keine UG und keine GmbH.
2. Gegenstand der Verarbeitung
Der Auftragsverarbeiter verarbeitet im Auftrag personenbezogene Daten, die im Google-Business-Profile des Auftraggebers öffentlich sichtbar sind. Zweck der Verarbeitung ist:
- Automatisierte Klassifikation von Google-Rezensionen hinsichtlich potenzieller Verstöße gegen Google-Richtlinien oder deutsches Recht.
- Erstellung von Meldetexten, Antwortvorschlägen sowie rechtlichen Aufforderungsschreiben.
- Bereitstellung der Ergebnisse in der CheckRuf-Weboberfläche und per Transaktions-E-Mail.
3. Dauer der Verarbeitung
Die Verarbeitung läuft an den Hauptvertrag (Nutzungsvereinbarung CheckRuf) gekoppelt. Endet der Hauptvertrag, werden die personenbezogenen Daten spätestens 30 Tage nach Vertragsende gelöscht oder anonymisiert. Gesetzliche Aufbewahrungspflichten (z. B. handels- oder steuerrechtlich) bleiben unberührt.
4. Art der personenbezogenen Daten
Verarbeitet werden ausschließlich:
- Angezeigter Name der Rezensentin bzw. des Rezensenten (Display-Name im Google-Profil).
- Bewertungstext und Sterne-Wertung.
- Zeitstempel der Rezension und der Veröffentlichung.
- Optional vom Auftraggeber ergänzte Kontextnotizen.
Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet.
5. Kreis der betroffenen Personen
Betroffene Personen sind die Rezensentinnen und Rezensenten, die im Google-Business-Profile des Auftraggebers Bewertungen veröffentlicht haben.
6. Unterauftragsverarbeiter
Der Auftraggeber stimmt der Einbindung folgender Unterauftragsverarbeiter zu:
| Anbieter | Sitz | Zweck | Rechtsgrundlage Drittlandtransfer |
|---|---|---|---|
| Anthropic PBC | USA | LLM-Klassifikation von Rezensionen | EU-Standardvertragsklauseln 2021/914 |
| Neon Inc. | USA (Compute-Region EU-Frankfurt) | Datenbank-Hosting (PostgreSQL) | EU-Standardvertragsklauseln |
| Vercel Inc. | USA (Compute-Region EU-FRA1) | Anwendungs-Hosting | EU-Standardvertragsklauseln |
| Resend Inc. | USA | Versand von Transaktions-E-Mails | EU-Standardvertragsklauseln |
| Inngest Inc. | USA (EU-Region) | Asynchrone Job-Queue | EU-Standardvertragsklauseln |
| Stripe Payments Europe Ltd. | Irland | Zahlungsabwicklung | EU-intern |
Der Auftragsverarbeiter informiert den Auftraggeber vorab per E-Mail über Änderungen an dieser Liste.
7. Technisch-organisatorische Maßnahmen (TOM)
Die Umsetzung der TOM erfolgt auf Grundlage von Art. 32 DSGVO. Aktuelle Baseline:
- Transport-Verschlüsselung: TLS 1.2+ für sämtliche Verbindungen (Web, API, Datenbank, Drittanbieter).
- Verschlüsselung at rest: Datenbank und Backups werden verschlüsselt gespeichert.
- Zugriffskontrolle: Authentifizierung über Auth.js mit Google-OAuth; Zwei-Faktor-Authentifizierung ist geplant und wird vor Produktivlaunch verfügbar.
- Mandantentrennung: Jede Kundenorganisation verfügt über eine logisch getrennte Datenzone; Zugriffe werden serverseitig pro Organisation geprüft.
- EU-Hosting: Anwendung und Datenbank werden in EU-Regionen betrieben, sofern der Anbieter dies anbietet.
- Audit-Logs: Sicherheitsrelevante Ereignisse (Anmeldungen, Standort-Verknüpfungen, AVV-Akzeptanz, Datenlöschungen) werden serverseitig protokolliert.
- Datenminimierung: Es werden nur die oben genannten Datenfelder erhoben und verarbeitet.
8. Kontrollrechte und Mitwirkungspflichten
Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags in angemessener Form zu überprüfen; der Auftragsverarbeiter stellt die hierfür erforderlichen Auskünfte und Nachweise bereit. Der Auftragsverarbeiter unterstützt den Auftraggeber bei Betroffenenanfragen (Art. 12-23 DSGVO) sowie bei Datenschutz-Folgeabschätzungen in angemessenem Umfang. Datenschutzverletzungen meldet der Auftragsverarbeiter unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis.
9. Rechtlicher Hinweis
Dieses Dokument ist die operative Baseline-Version 1.0 und wird vor Produktiv-Launch anwaltlich geprüft. Anpassungen an den finalen Vertragstext werden mit Versionswechsel dokumentiert; bei inhaltlichen Änderungen ist eine erneute Zustimmung erforderlich.