Auftragsverarbeitungsvertrag (AVV)
Letzte Aktualisierung: 25. März 2026
1. Einleitung
Der vorliegende Auftragsverarbeitungsvertrag (im Folgenden „AVV“) ist ein Anhang zu den Allgemeinen Geschäftsbedingungenzwischen Digital Technologies OÜ („Pilotium“, „Auftragsverarbeiter“) und dem Kunden („Kunde“, „Verantwortlicher“). Dieser AVV hat zum Ziel, die Einhaltung der Datenschutz-Grundverordnung (DSGVO, Verordnung EU 2016/679) und sonstiger anwendbarer Datenschutzgesetzgebung zu gewährleisten.
Mit der Nutzung der Dienste von Pilotium akzeptiert der Kunde die Bedingungen dieses AVV.
2. Rollen der Parteien
- Verantwortlicher (Controller): Der Kunde, der die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner Leads, Mitglieder und Kunden des Fitnessstudios bestimmt.
- Auftragsverarbeiter (Prozessor):Pilotium (Digital Technologies OU), das personenbezogene Daten im Namen und im Auftrag des Kunden gemäß den Weisungen dieses AVV verarbeitet.
Pilotium handelt zudem als Verantwortlicher für seine eigenen Daten (Kontodaten des Kunden, Abrechnungsdaten, Nutzungsdaten der Plattform), deren Verarbeitung durch die Datenschutzerklärung geregelt wird.
3. Verarbeitete personenbezogene Daten
Im Rahmen der Erbringung des Dienstes kann Pilotium die folgenden Kategorien personenbezogener Daten im Auftrag des Kunden verarbeiten:
| Datenkategorie | Beispiele |
|---|---|
| Identifikationsdaten von Leads | Name, Telefon, E-Mail, Stadt |
| Interaktionsdaten | WhatsApp-Nachrichten mit KI-Agenten, Antworten auf Erfassungsformulare, Probetraining-Buchungen |
| Umfragedaten | Antworten der Mitglieder des Fitnessstudios (anonymisiert für Zielgruppenprofile) |
| Kampagnendaten | Mit Leads verbundene Werbekennzahlen (Impressionen, Klicks, Konversionen) |
Kategorien betroffener Personen: Leads (potenzielle Kunden des Fitnessstudios), aktuelle Mitglieder des Fitnessstudios (im Falle von Umfragen), Personen, die mit den Anzeigen des Kunden interagieren.
4. Zweck und Dauer der Verarbeitung
Pilotium verarbeitet die personenbezogenen Daten ausschließlich für die folgenden Zwecke:
- Verwaltung von Werbekampagnen auf den Werbeplattformen (Meta, Google, TikTok, Snapchat) im Auftrag des Kunden
- Qualifizierung von Leads mittels Agenten künstlicher Intelligenz
- Verwaltung von Probetraining-Buchungen
- Erstellung von Berichten und Leistungsanalysen für den Kunden
- Benachrichtigungen an den Kunden über neue Leads und den Kampagnenstatus
Die Verarbeitung erfolgt während der Laufzeit des Abonnements des Kunden und während der 30 Tage nach der Kündigung (Aufbewahrungszeitraum). Nach diesem Zeitraum werden die Daten gemäß Abschnitt 9 gelöscht.
5. Pflichten von Pilotium als Auftragsverarbeiter
Pilotium verpflichtet sich:
- Personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Kunden und den in diesem AVV festgelegten Zwecken zu verarbeiten, es sei denn, eine gesetzliche Verpflichtung erfordert dies (in diesem Fall wird Pilotium den Kunden vorab informieren, es sei denn, das Gesetz verbietet dies)
- Sicherzustellen, dass alle zur Verarbeitung der Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben
- Die in Abschnitt 7 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen umzusetzen
- Ohne vorherige Genehmigung des Kunden gemäß Abschnitt 6 keine Unterauftragsverarbeiter einzusetzen
- Den Kunden bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit usw.) zu unterstützen
- Den Kunden bei der Erfüllung seiner Pflichten in Bezug auf die Sicherheit der Verarbeitung, die Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen der Aufsichtsbehörde zu unterstützen
- Nach Wahl des Kunden alle personenbezogenen Daten nach Beendigung der Dienstleistung gemäß Abschnitt 9 zu löschen oder zurückzugeben
- Dem Kunden alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der in Art. 28 DSGVO festgelegten Pflichten nachzuweisen
6. Unterauftragsverarbeiter
Der Kunde erteilt Pilotium eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Die aktuellen Unterauftragsverarbeiter sind:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Meta Platforms, Inc. | Veröffentlichung und Verwaltung von Anzeigen | EU/USA (DPF) |
| Google LLC | Veröffentlichung und Verwaltung von Anzeigen | EU/USA (DPF) |
| TikTok Inc. | Veröffentlichung und Verwaltung von Anzeigen | USA/Singapur (SCC) |
| Anthropic PBC | KI-Konversationsagent | USA (DPF) |
| Hetzner Online GmbH | Server- und Datenbank-Hosting | EU (Deutschland) |
| Brevo (Sendinblue) SAS | Transaktionaler E-Mail-Versand | EU (Frankreich) |
| Resend Inc. | Transaktionaler E-Mail-Versand | USA (DPF) |
Pilotium wird den Kunden über jede Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mit einer Vorankündigung von mindestens 30 Tagen informieren. Wenn der Kunde aus gerechtfertigten Datenschutzgründen Einwände gegen einen neuen Unterauftragsverarbeiter erhebt und der Einwand nicht innerhalb von 30 Tagen beigelegt wird, kann der Kunde den Vertrag ohne Vertragsstrafe kündigen.
Pilotium gewährleistet, dass alle Unterauftragsverarbeiter durch Datenschutzpflichten gebunden sind, die den in diesem AVV festgelegten gleichwertig sind.
7. Sicherheitsmaßnahmen
Pilotium setzt die folgenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten um:
- Verschlüsselung:TLS 1.2+ bei der Übertragung, AES-256-CBC im Ruhezustand
- Zugriffskontrolle:Rollenbasierter Zugriff (Prinzip der geringsten Berechtigung), SSH-Schlüssel-Authentifizierung, mit bcrypt verschlüsselte Passwörter
- Netzwerksicherheit: Firewall (UFW), Intrusion Prevention (fail2ban), DDoS-Schutz (Cloudflare)
- Hosting: Server in der EU (Hetzner Online GmbH, Deutschland)
- Backups:Regelmäßige Sicherungskopien in der EU
- Zahlungsdaten: Verarbeitung durch Stripe (PCI-DSS-zertifiziert); Kartendaten werden nicht auf den Servern von Pilotium gespeichert
- Vertraulichkeit: Alle Mitarbeiter mit Zugang zu personenbezogenen Daten unterliegen Vertraulichkeitspflichten
- Überwachung:Kontinuierliche Systemüberwachung und Sicherheitswarnungen
8. Datenschutzverletzungen
Im Falle einer Datenschutzverletzung, die im Auftrag des Kunden verarbeitete personenbezogene Daten betrifft, wird Pilotium:
- Den Kunden unverzüglich, in jedem Fall innerhalb von höchstens 48 Stunden nach Kenntnisnahme der Verletzung, benachrichtigen
- Dem Kunden alle verfügbaren Informationen über die Art der Verletzung, die betroffenen Datenkategorien, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Abhilfemaßnahmen zur Verfügung stellen
- Vollständig mit dem Kunden zusammenarbeiten, um die Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und den betroffenen Personen (Art. 34 DSGVO) zu erfüllen
- Alle Datenschutzverletzungen und die ergriffenen Abhilfemaßnahmen dokumentieren
9. Rückgabe und Löschung von Daten
Nach der Kündigung des Abonnements des Kunden:
- Der Kunde kann den Export seiner Lead- und Kampagnendaten während der 30 Tage nach der Kündigung beantragen
- Nach Ablauf des 30-tägigen Aufbewahrungszeitraums löscht Pilotium alle im Auftrag des Kunden verarbeiteten personenbezogenen Daten, es sei denn, eine gesetzliche Verpflichtung erfordert deren Aufbewahrung (in diesem Fall werden die Daten gesperrt und sind nur zur Erfüllung dieser gesetzlichen Verpflichtung zugänglich)
- Pilotium stellt dem Kunden auf Anfrage eine schriftliche Bestätigung der Löschung zur Verfügung
10. Rechte der betroffenen Personen
Wenn Pilotium einen Antrag einer betroffenen Person (Lead oder andere Person, deren Daten im Auftrag des Kunden verarbeitet werden) auf Ausübung ihrer Rechte gemäß der DSGVO erhält (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch usw.):
- Pilotium wird den Kunden unverzüglich über diesen Antrag informieren
- Pilotium wird den Antrag nicht direkt beantworten, es sei denn, der Kunde genehmigt dies oder das Gesetz erfordert es
- Pilotium wird dem Kunden die angemessene Unterstützung leisten, die zur Beantwortung des Antrags erforderlich ist
11. Internationale Datenübermittlungen
Wenn die Verarbeitung personenbezogener Daten im Auftrag des Kunden Übermittlungen außerhalb des Europäischen Wirtschaftsraums umfasst, gewährleistet Pilotium, dass angemessene Garantien bestehen:
- Angemessenheitsbeschlüsse der Europäischen Kommission (Art. 45 DSGVO)
- EU-U.S. Data Privacy Framework (DPF) für teilnehmende Anbieter
- Von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCC) für die übrigen Fälle
12. Prüfung
Pilotium stellt dem Kunden alle vernünftigerweise erforderlichen Informationen zur Verfügung, um die Einhaltung der in diesem AVV und in Art. 28 DSGVO festgelegten Pflichten nachzuweisen. Der Kunde (oder ein von ihm beauftragter Prüfer, der der Vertraulichkeit unterliegt) kann eine jährliche Prüfung mit einer Vorankündigung von mindestens 30 Tagen während der Geschäftszeiten und ohne Beeinträchtigung des Betriebs von Pilotium durchführen.
13. Haftung
Die Haftung jeder Partei im Zusammenhang mit diesem AVV richtet sich nach den in den Allgemeinen Geschäftsbedingungenfestgelegten Beschränkungen. Nichts in diesem AVV beschränkt die Haftung einer Partei gegenüber den betroffenen Personen oder den Datenschutzbehörden gemäß der DSGVO.
14. Laufzeit
Dieser AVV tritt mit der Annahme der Allgemeinen Geschäftsbedingungen in Kraft und bleibt gültig, solange Pilotium personenbezogene Daten im Auftrag des Kunden verarbeitet. Die Vertraulichkeitspflichten und die Pflichten zur Löschung von Daten überdauern die Beendigung dieses AVV.
15. Anwendbares Recht
Dieser AVV unterliegt demselben anwendbaren Recht wie die Allgemeinen Geschäftsbedingungen(Recht der Republik Estland für Kunden in der EU).
16. Kontakt
Bei Fragen zu diesem AVV oder zur Verarbeitung personenbezogener Daten kontaktieren Sie uns unter [email protected].