More languages coming
Start for free

Auftragsverarbeitungsvertrag (AVV)

Vertrag zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO · Stand: Mai 2026

Vertragsparteien und Zustandekommen

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen dem Kunden als Verantwortlichem (nachfolgend „Auftraggeber“) und

Frank Nitze Consulting, Inhaber Frank Nitze
Georgstr. 50B, 30159 Hannover
USt-IdNr.: DE311561342
(nachfolgend „Auftragnehmer“)

als Auftragsverarbeiter. Der Auftraggeber wird durch die in seinem Nutzerkonto hinterlegten Daten (insbesondere Kontoinhaber und E-Mail-Adresse) identifiziert; eine gesonderte Angabe von Name und Anschrift in diesem Dokument ist nicht erforderlich. Der Vertrag kommt zustande, indem der Auftraggeber ihn im Rahmen der Registrierung bzw. des Bestellvorgangs ausdrücklich bestätigt. Er gilt für alle Auftraggeber gleichlautend und wird dem Auftraggeber im Anschluss in Textform (per E-Mail) zur Verfügung gestellt. Er konkretisiert die Datenschutzpflichten der Parteien im Rahmen der Nutzung der Plattform Votara und ist Bestandteil des Hauptvertrags (AGB).

1. Gegenstand und Dauer

Der Auftragnehmer verarbeitet personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO. Gegenstand ist die Bereitstellung der Umfrage-Plattform Votara einschließlich der Erhebung, Speicherung und Auswertung der vom Auftraggeber bzw. dessen Umfrage-Teilnehmern eingegebenen Daten.

Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Eine Verarbeitung in einem Drittland erfolgt nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies betrifft insbesondere die in der Anlage genannten Subunternehmer OpenAI (USA, Standardvertragsklauseln), Resend (USA, Standardvertragsklauseln) sowie — sofern aktiviert — Voiceflow (Kanada, Angemessenheitsbeschluss).

Die Dauer des Auftrags entspricht der Laufzeit des Hauptvertrags. Mit dessen Beendigung endet auch dieser Vertrag.

2. Art und Zweck der Verarbeitung, Datenarten, betroffene Personen

Art und Zweck

Bereitstellung einer Software zur Erstellung, Durchführung und Auswertung von Umfragen; Erhebung und Speicherung von Antworten, Erstellung von Auswertungen und KI-gestützten Themen-Clustern, Versand von Einladungen und Benachrichtigungen.

Art der personenbezogenen Daten

  • Konto-/Kontaktdaten des Auftraggebers und seiner Teammitglieder (z. B. E-Mail, Name)
  • bei eingeschränkten Umfragen: E-Mail-Adressen eingeladener Teilnehmer
  • Umfrage-Antworten (inkl. Freitext-Antworten)
  • technische Nutzungsdaten (z. B. zufällige Sitzungskennungen, Zeitstempel)

Eine gezielte Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht vorgesehen. Erhebt der Auftraggeber über Freitextfelder dennoch solche Daten, liegt dies in seiner alleinigen Verantwortung.

Kategorien betroffener Personen

  • der Auftraggeber und seine Mitarbeiter/Teammitglieder
  • Teilnehmer der vom Auftraggeber durchgeführten Umfragen

3. Rechte und Pflichten des Auftraggebers

Der Auftraggeber ist für die Zulässigkeit der Verarbeitung (Art. 6 DSGVO) und die Wahrung der Betroffenenrechte (Art. 12–22 DSGVO) allein verantwortlich. Er erteilt Weisungen grundsätzlich in dokumentierter Form (Text- bzw. elektronische Form); die Nutzung der Plattform-Funktionen gilt als dokumentierte Weisung im Rahmen des vereinbarten Leistungsumfangs. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

Der Auftraggeber ist berechtigt, sich von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen (Ziffer 7).

4. Pflichten des Auftragnehmers

  • Verarbeitung personenbezogener Daten nur im Rahmen des Auftrags und nach Weisung des Auftraggebers, sofern nicht gesetzlich zu anderer Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
  • keine Nutzung der Daten für eigene Zwecke; strikte Trennung von anderen Datenbeständen (mandantenfähige Speicherung).
  • Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO); die Vertraulichkeit besteht über das Vertragsende hinaus fort.
  • Unterstützung des Auftraggebers bei der Erfüllung von Betroffenenrechten sowie bei Datenschutz-Folgenabschätzungen, soweit erforderlich und technisch möglich (Art. 28 Abs. 3 lit. e und f DSGVO).
  • Hinweis an den Auftraggeber, wenn eine Weisung nach Auffassung des Auftragnehmers gegen Datenschutzrecht verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).
  • Berichtigung, Löschung oder Einschränkung der Verarbeitung auf Weisung des Auftraggebers.

Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Pflicht hierzu derzeit nicht besteht. Ansprechpartner für den Datenschutz ist der Inhaber, erreichbar unter support@votara.io.

5. Meldepflichten bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten sowie über Störungen und den Verdacht auf Datenschutzverstöße und unterstützt ihn erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO (Art. 28 Abs. 3 lit. f DSGVO). Meldungen an die Aufsichtsbehörde für den Auftraggeber nimmt der Auftragnehmer nur nach dessen vorheriger Weisung vor.

6. Unterauftragsverhältnisse (Subunternehmer)

Der Auftraggeber erteilt mit Abschluss dieses Vertrags seine allgemeine Genehmigung zur Beauftragung der in der Anlage genannten Subunternehmer (Art. 28 Abs. 2 DSGVO). Der Auftragnehmer wählt diese sorgfältig aus, verpflichtet sie auf ein im Wesentlichen gleichwertiges Datenschutzniveau und informiert den Auftraggeber rechtzeitig über beabsichtigte Änderungen, sodass dieser widersprechen kann. Bei Subunternehmern in Drittländern werden die Voraussetzungen der Art. 44 ff. DSGVO eingehalten. Der Auftragnehmer haftet dafür, dass die Subunternehmer den vereinbarten Datenschutzpflichten nachkommen.

7. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragnehmer gewährleistet ein dem Risiko angemessenes Schutzniveau und berücksichtigt dabei die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Hierzu zählen insbesondere:

  • Vertraulichkeit: verschlüsselte Datenübertragung (TLS) und verschlüsselte Datenhaltung; rollenbasiertes Berechtigungskonzept; passwortlose bzw. starke Authentifizierung; mandantengetrennte Speicherung der Organisationsdaten.
  • Integrität: protokollierte Änderungsnachverfolgung (Audit-Log) für sicherheitsrelevante Vorgänge; serverseitige Validierung von Eingaben.
  • Verfügbarkeit und Belastbarkeit: Betrieb auf einer etablierten Cloud-Infrastruktur innerhalb der EU; regelmäßige, automatisierte Datensicherungen mit Wiederherstellbarkeit.
  • Verfahren zur Überprüfung: regelmäßige Überprüfung und Bewertung der Wirksamkeit der Maßnahmen sowie Einsatz sorgfältig ausgewählter, auf Art. 28 DSGVO verpflichteter Dienstleister.

Die Maßnahmen unterliegen dem technischen Fortschritt und können weiterentwickelt werden, dürfen das vereinbarte Schutzniveau aber nicht unterschreiten.

8. Kontrollrechte

Der Auftragnehmer ermöglicht dem Auftraggeber im erforderlichen Umfang die Überprüfung der Einhaltung der getroffenen Maßnahmen, in der Regel durch Bereitstellung geeigneter Nachweise und Auskünfte. Vor-Ort- Überprüfungen erfolgen nach vorheriger Ankündigung und Abstimmung in angemessenem Umfang (Art. 28 Abs. 3 lit. h DSGVO).

9. Pflichten nach Beendigung

Nach Beendigung des Auftrags löscht der Auftragnehmer die im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO). Bis zur endgültigen Löschung steht dem Auftraggeber eine angemessene Export-Frist von 30 Tagen zur Verfügung.

10. Haftung und Schlussbestimmungen

Für die Haftung gilt Art. 82 DSGVO; im Übrigen gelten die Haftungsregelungen des Hauptvertrags (AGB). Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Änderungen und Ergänzungen bedürfen der Textform.

Anlage: Eingesetzte Subunternehmer

  • Supabase (Supabase Inc.) — Datenbank und Authentifizierung; Hosting innerhalb der EU.
  • Hostinger (Hostinger International Ltd.) — Server-Hosting/Infrastruktur innerhalb der EU.
  • Stripe (Stripe Payments Europe, Ltd., Irland) — Zahlungsabwicklung.
  • Resend (Resend, Inc., USA) — Versand transaktionaler E-Mails; Standardvertragsklauseln.
  • OpenAI (OpenAI, L.L.C., USA) — KI-gestützte Freitextanalyse; Standardvertragsklauseln.
  • Voiceflow (Voiceflow, Inc., Kanada) — Hilfe-Chatbot, sofern aktiviert; Angemessenheitsbeschluss der EU-Kommission für Kanada.
Auftragsverarbeitungsvertrag (AVV) | Votara