Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: Juni 2026

Parteien dieses Vertrages

Auftragsverarbeiter (AV):

BeckMarketing.Solutions GmbH

Marienburger Str. 5, 84478 Waldkraiburg, Deutschland

Verantwortlicher (Auftraggeber): Das jeweilige Unternehmen bzw. die natürliche Person, die ClosingPro im Rahmen eines Nutzungsvertrages einsetzt (nachfolgend „Verantwortlicher").

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der Softwareplattform ClosingPro.

(2) Der Gegenstand der Auftragsverarbeitung ist die KI-gestützte Analyse von Verkaufsgesprächen (Transkripte von Setter- und Closer-Calls), die Erstellung von Coaching-Berichten, die Pflege von Mitarbeiterprofilen sowie die Zurverfügungstellung des zugehörigen Analyse-Dashboards.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (Nutzungsvertrag). Mit Beendigung des Vertrages sind die Daten gemäß § 8 dieses AVV zu behandeln.

§ 2 Art und Zweck der Verarbeitung

Art der verarbeiteten Daten

Namen und Kontaktdaten von Vertriebsmitarbeitern (Setter, Closer) und Leads
Transkripte und ggf. Audioaufnahmen von Verkaufsgesprächen
Leistungs- und Bewertungsdaten (Scores, Phasen-Analysen, Einwandbehandlungen)
Unternehmensbezogene Kontextdaten (Branche, Firmenname)
Authentifizierungsdaten (E-Mail, Session-Tokens)

Betroffene Personen: Vertriebsmitarbeiter des Verantwortlichen, Leads bzw. potenzielle Kunden.

Zweck der Verarbeitung: Analyse von Verkaufsgesprächen mittels KI, Ableitung von Coaching-Maßnahmen, Pflege lernender Mitarbeiterprofile, Bereitstellung von Analytics und Reports für Vertriebsleiter.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO).
Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen (§ 7 dieses AVV).
Den Verantwortlichen unverzüglich zu informieren, wenn nach Einschätzung des Auftragsverarbeiters eine erteilte Weisung gegen anwendbares Recht verstößt (Art. 28 Abs. 3 lit. h DSGVO).
Bei der Beantwortung von Anfragen betroffener Personen zu deren Rechten zu unterstützen.
Datenpannen (Art. 33 DSGVO) dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, zu melden.

§ 4 Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

Nur solche personenbezogenen Daten zu übermitteln, für deren Verarbeitung eine Rechtsgrundlage nach Art. 6 DSGVO besteht.
Die betroffenen Personen (insbesondere Leads) über die Verarbeitung ihrer Daten im Rahmen der ClosingPro datenschutzkonform zu informieren.
Anfragen betroffener Personen auf Auskunft, Berichtigung oder Löschung eigenverantwortlich zu bearbeiten.
Weisungen zur Datenverarbeitung schriftlich oder per E-Mail zu erteilen.

§ 5 Einsatz von Subauftragsverarbeitern

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung, die nachfolgend genannten Subauftragsverarbeiter einzusetzen. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen rechtzeitig im Voraus.

(2) Aktuelle Subauftragsverarbeiter:

Unternehmen	Sitz / Rechenzentrum	Zweck	Drittland-Garantie
Anthropic, PBC	USA	KI-Analyse (Claude API)	EU-Standardvertragsklauseln (SCCs)
Supabase, Inc.	Irland (EU)	Datenbank, Authentifizierung	Kein Drittlandtransfer
Hetzner Online GmbH	Deutschland	Server-Hosting, Infrastruktur	Kein Drittlandtransfer
Zoho Corporation	Niederlande (EU)	E-Mail-Versand (Reports)	Kein Drittlandtransfer (EU-Server)
Stripe Payments Europe, Ltd.	Irland (EU); ggf. USA	Zahlungsabwicklung, Rechnungen	SCCs / EU-US Data Privacy Framework
Zoom Video Communications, Inc.	USA	Call-/Transkript-Erfassung (sofern aktiviert)	SCCs / EU-US Data Privacy Framework
Twilio Ireland Ltd. / Aircall SAS	Irland (EU) / Frankreich (EU); ggf. USA	Telefonie, Call-Erfassung (sofern aktiviert)	SCCs (bei US-Übermittlung)
Google Ireland Ltd. / Microsoft Ireland Operations Ltd.	Irland (EU); ggf. USA	Meeting-Transkripte (Google Meet / Teams, sofern aktiviert)	SCCs / EU-US Data Privacy Framework
OpenAI Ireland Ltd.	Irland (EU); ggf. USA	Audio-Transkription „Audio Coach" (Whisper, sofern genutzt)	SCCs / EU-US Data Privacy Framework
LangChain, Inc. (LangSmith)	USA	KI-Tracing / Qualitätssicherung (optional)	SCCs (bei US-Übermittlung)

(3) Der Auftragsverarbeiter legt allen Subauftragsverarbeitern dieselben datenschutzrechtlichen Pflichten auf wie in diesem AVV vereinbart (Art. 28 Abs. 4 DSGVO).

§ 6 Übermittlung in Drittländer

Die Übermittlung personenbezogener Daten in Länder außerhalb des EWR erfolgt ausschließlich auf Basis geeigneter Garantien gemäß Art. 46 DSGVO. Soweit Subauftragsverarbeiter Daten in die USA übermitteln (insbesondere Anthropic sowie ggf. Stripe, Zoom, OpenAI, LangChain und US-Subdienstleister der eingesetzten Telefonie-/Meeting-Anbieter), erfolgt die Übermittlung auf Basis der von der EU-Kommission erlassenen Standardvertragsklauseln (SCCs, Beschluss 2021/914) und – soweit der jeweilige Anbieter zertifiziert ist – ergänzend auf Basis des EU-US Data Privacy Framework.

§ 7 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

Verschlüsselung: Alle Daten werden transportverschlüsselt (TLS 1.2+) übertragen; sensible Daten (OAuth-Token, API-Schlüssel) werden mit symmetrischer Verschlüsselung (AES-256 / Fernet) gespeichert.
Zugriffskontrolle: Datenbankzugriff ausschließlich über signierte API-Keys und SECURITY-DEFINER-Datenbankfunktionen; kein direkter Tabellenzugriff durch API-Keys.
Authentifizierung: Cookiebasierte Sessions, serverseitig validiert durch Supabase Auth.
Mandantentrennung: Alle Datenbankzugriffe sind tenant-scoped; eine Isolation zwischen Mandanten ist technisch sichergestellt.
Logging: Zugriffe und Fehler werden serverseitig protokolliert; Logs enthalten keine personenbezogenen Daten im Klartext.
Patch-Management: Regelmäßige Aktualisierung aller eingesetzten Systemkomponenten.

§ 8 Rückgabe und Löschung von Daten

Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragsverarbeiter sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Pflicht zur Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 3 lit. g DSGVO).

Löschanfragen sind an info@beckmarketing.solutions zu richten und werden innerhalb von 30 Tagen bearbeitet.

§ 9 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch Inspektionen oder Audits zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Inspektionen sind mit angemessener Vorankündigung (mindestens 4 Wochen) schriftlich anzumelden. Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Einhaltung der Verpflichtungen gemäß Art. 28 DSGVO zur Verfügung.

§ 10 Haftung

Die Haftung der Parteien für Datenschutzverstöße richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie den im Nutzungsvertrag getroffenen Haftungsvereinbarungen.

§ 11 Rechtswahl und Gerichtsstand

Für diesen Auftragsverarbeitungsvertrag gilt deutsches Recht. Gerichtsstand für alle Streitigkeiten ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.

§ 12 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

Dieser AVV gilt mit dem Abschluss des Nutzungsvertrages als vereinbart. Bei Bedarf kann eine unterzeichnete Version per E-Mail angefordert werden.

Waldkraiburg, Juni 2026
BeckMarketing.Solutions GmbH · Patrick Beck, Geschäftsführer