AVV

1 Gegenstand der Verarbeitung

Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen im Bereich E-Mail-Marketing und angrenzender automatisierter Kommunikationsformen, insbesondere über SMS, Push Notifications, WhatsApp sowie vergleichbare Kanäle. Dazu zählen insbesondere:

• Einrichtung und technische Konfiguration von Klaviyo
• Einrichtung und Optimierung von Automatisierungen und Flows
• Segmentierung und personalisierte Zielgruppenansprache
• Durchführung von Audits und Performanceanalysen
• Support bei Tracking, API-Events, Datenabgleichen
• Zugriff auf Klaviyo-Daten zur Analyse oder Einrichtung

Dabei kann es zu einer Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen kommen.

2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zu folgenden Zwecken:

• Technische Umsetzung, Konfiguration und Optimierung von E-Mail-Marketing-Systemen
• Unterstützung bei der Nutzung und Integration von Klaviyo
• Durchführung und Analyse automatisierter Marketingkommunikation via E-Mail, SMS, Push, WhatsApp etc.
• Verbesserung der Kundenkommunikation und Marketingautomatisierung

3 Art der personenbezogenen Daten

Es können insbesondere folgende Datenarten betroffen sein:

• Kontaktdaten (E-Mail-Adresse, Telefonnummern, Vorname, Nachname)
• Messaging-IDs, Kommunikationsverläufe o. ä.
• Bestell- und Transaktionsdaten
• Verhaltensdaten (z. B. Klicks, Öffnungen, Käufe)
• Interessenprofile, Segmentzugehörigkeit
• Technische Kennungen (z. B. User ID, Eventdaten)

4 Kategorien betroffener Personen

• Endkunden des Verantwortlichen
• Newsletter-Empfänger
• Websitebesucher, Nutzer von Online-Shops
• ggf. Nutzerprofile in Marketing-Plattformen

5 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer der Beauftragung des Auftragsverarbeiters im Rahmen der vereinbarten Dienstleistungen. Nach Beendigung des Hauptvertrages und nach Wahl des Verantwortlichen werden die personenbezogenen Daten nach dessen Weisung gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht des Auftragsverarbeiters entgegensteht.

6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Weisungsgebundenheit: Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten und den Verantwortlichen unverzüglich zu informieren, wenn eine erteilte Weisung seiner Ansicht nach gegen die DSGVO oder andere Datenschutzvorschriften verstößt.
• Vertraulichkeit des Personals: Alle Personen, die Zugang zu personenbezogenen Daten haben, vor Aufnahme ihrer Tätigkeit schriftlich auf das Datengeheimnis zu verpflichten und regelmäßig zu schulen. Die hierfür getroffenen Maßnahmen sind im Anhang „Technische und Organisatorische Maßnahmen (TOM)“ unter dem Punkt „Personal (Organisatorische Maßnahmen)“ detailliert beschrieben.
• Technische und organisatorische Maßnahmen (TOM): Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen und deren Wirksamkeit regelmäßig zu überprüfen. Die Details dieser Maßnahmen sind dem Anhang „Technische und Organisatorische Maßnahmen (TOM)“ zu entnehmen, welcher Bestandteil dieser Vereinbarung ist.
• Betroffenenrechte: Den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen (Art. 12-22 DSGVO) zu unterstützen.
• Datenschutzverletzungen: Datenschutzverletzungen unverzüglich an den Verantwortlichen zu melden und diesen bei der Erfüllung seiner Meldepflichten gemäß Art. 33, 34 DSGVO zu unterstützen.
• Auskunfts- und Kontrollrecht: Dem Verantwortlichen alle zur Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung zu stellen und Kontrollen sowie Audits (inkl. Inspektionen), insbesondere der TOM, zu ermöglichen. Der Auftragsverarbeiter ist berechtigt, die Kontrolle auch in Form von schriftlichen Selbstauskünften oder Standardberichten zu ermöglichen, es sei denn, ein konkreter Anlass erfordert eine Vor-Ort-Kontrolle, die dann gesondert vereinbart wird.
• Subunternehmer: Etwaige Subunternehmer nur nach vorheriger Information des Verantwortlichen gemäß Klausel 8 dieser Vereinbarung einzusetzen und mit diesen ebenfalls AVV zu schließen.

7 Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung, die Einhaltung der DSGVO und die Erteilung der Weisungen an den Auftragsverarbeiter verantwortlich. Er hat das Recht, die Einhaltung dieser Vereinbarung und der getroffenen TOM regelmäßig zu kontrollieren.

8 Subunternehmer

Der Auftragsverarbeiter darf Subunternehmer (z. B. Hosting-Dienstleister, Freelancer, technische Tools) einsetzen. Der Auftragsverarbeiter wird mit seinen Subunternehmern, die personenbezogene Daten im Auftrag verarbeiten, entsprechende Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO schließen und die Erfüllung dieser Pflichten überprüfen.

Eine Liste der aktuell eingesetzten Subunternehmer wird auf der Seite Subunternehmer veröffentlicht. Der Auftragsverarbeiter veröffentlicht ebenda Änderungen an den eingesetzten Subunternehmern mindestens 14 Tage im Voraus. Der Verantwortliche hat das Recht, innerhalb dieser Frist zu widersprechen.

9 Löschung und Rückgabe

Nach Abschluss der Verarbeitung löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

10 Sonstiges

Änderungen oder Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Im Übrigen gelten die jeweiligen Hauptverträge zwischen den Parteien. Gerichtsstand ist Gdynia, Polen. Es gilt polnisches Recht unter Berücksichtigung der DSGVO.

11 Schlussbestimmungen

Sollten einzelne Regelungen unwirksam sein oder werden, berührt dies nicht die Wirksamkeit der übrigen Regelungen.

Stand: 26.07.2025