COMPACT LEADS

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: 14. Mai 2026 · Version 1.0

1. Gegenstand und Dauer

Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch CompactLeads (Auftragsverarbeiter) im Auftrag des Auftraggebers im Rahmen der Nutzung der SaaS-Plattform CompactLeads. Die Laufzeit entspricht der Laufzeit des Hauptvertrages (AGB § 8).

2. Art und Zweck der Verarbeitung

Verarbeitet werden Daten von Geschäftskontakten des Auftraggebers (B2B-Leads, Kunden, Lieferanten) zum Zweck der Vertriebsautomatisierung, der Kontaktverwaltung und der Abwicklung der dem Auftraggeber obliegenden Geschäftskorrespondenz (Outlook/Microsoft-Graph-Anbindung, Lead-Klassifikation per LLM, Mahnwesen).

3. Art der personenbezogenen Daten

  • Stammdaten von Ansprechpartnern (Name, E-Mail, Telefon, Position)
  • Firmenstammdaten der Kontakte (Adresse, USt-IdNr.)
  • Kommunikationsdaten (Mail-Verlauf, Notizen, Mailtexte)
  • Vertragsdaten (Angebote, Rechnungen, Leistungserfassung)

4. Kategorien betroffener Personen

  • Mitarbeiter und Ansprechpartner der Geschäftskontakte des Auftraggebers
  • Eigene Mitarbeiter des Auftraggebers (Nutzer der Plattform)

5. Pflichten des Auftragsverarbeiters

  1. Verarbeitung der Daten nur nach dokumentierten Weisungen des Auftraggebers (die Nutzung der Plattform-Funktionen gilt als solche Weisung).
  2. Wahrung der Vertraulichkeit. Alle eingesetzten Personen sind zur Vertraulichkeit verpflichtet (gem. § 53 BDSG-neu oder Vertraulichkeitserklärung).
  3. Implementierung angemessener technischer und organisatorischer Maßnahmen (TOM) gemäß Art. 32 DSGVO — Verschlüsselung in Transit (TLS) und at Rest, Zugriffsbeschränkungen via Row-Level-Security, regelmäßige Backups.
  4. Unterstützung des Auftraggebers bei Betroffenenrechten (Auskunft, Löschung, Berichtigung).
  5. Meldung von Datenschutzvorfällen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis.

6. Unterauftragsverarbeiter

Der Auftraggeber stimmt der Einbeziehung folgender Unterauftragsverarbeiter zu:

  • Supabase Inc. / AWS Frankfurt (eu-central-1) — Datenbank, Authentifizierung, Storage
  • Hetzner Online GmbH — Hosting der Application-Server (Falkenstein, Deutschland)
  • Anthropic PBC — LLM-API für Lead-Klassifikation und Outreach- Texte (Datenverarbeitung gemäß deren AVV; keine Trainings-Verwendung)
  • Resend Inc. — Transactional E-Mail (Auth-Mails, Team-Einladungen)
  • Cloudflare Inc. — DNS und DDoS-Schutz

Eine Änderung dieser Liste wird mindestens 30 Tage vorab angekündigt. Der Auftraggeber hat das Recht, der Änderung aus wichtigen Gründen zu widersprechen.

7. Technische und organisatorische Maßnahmen

  • Zutrittskontrolle: Rechenzentren mit physischen Zugangskontrollen
  • Zugangskontrolle: Multi-Faktor-Authentifizierung für Administratoren
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem, Row-Level-Security
  • Weitergabekontrolle: TLS 1.2+ für alle Übertragungen
  • Verschlüsselung: Datenbank-at-Rest-Verschlüsselung via AWS KMS
  • Verfügbarkeitskontrolle: tägliche automatische Backups, Disaster-Recovery-Plan
  • Trennungskontrolle: Mandantentrennung via organization_id + RLS

8. Datenstandort

Verarbeitung und Speicherung erfolgen ausschließlich in der Europäischen Union, primär Frankfurt/Main (Deutschland) und Falkenstein (Deutschland). Ausnahmen: Übermittlung an Anthropic PBC (USA) im Rahmen der LLM-Verarbeitung erfolgt auf Basis der Standardvertragsklauseln (SCCs).

9. Löschung und Rückgabe von Daten

Nach Vertragsende werden alle Daten des Auftraggebers innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine Datenkopie wird auf Anforderung vor Löschung bereitgestellt (CSV-Export).

10. Kontaktdaten

Datenschutzbeauftragter / Ansprechpartner: privacy@compactleads.com

Dieser AVV wird mit Klick auf die entsprechende Checkbox im Registrierungs- formular wirksam abgeschlossen.