Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO
Stand: März 2026
zwischen dem Nutzer der Plattform Aficial (nachfolgend „Auftraggeber“) und
Aficial UG (haftungsbeschränkt)
Vertreten durch: Halit Caner Ertürk, Geschäftsführer
c/o IP-Management #9417
Ludwig-Erhard-Str. 18, 20459 Hamburg
E-Mail: support@aficial.ai
(nachfolgend „Auftragsverarbeiter“)
1. Gegenstand und Dauer der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Plattform Aficial – einer KI-gestützten E-Mail-Automatisierungslösung für den Kundensupport.
Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen Auftraggeber und Auftragsverarbeiter. Sie beginnt mit der Registrierung und endet mit der vollständigen Löschung des Kontos und aller zugehörigen Daten.
2. Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Empfang, Speicherung und Kategorisierung eingehender Kunden-E-Mails
- KI-gestützte Analyse von E-Mail-Inhalten zur Generierung von Antwortvorschlägen (mittels Anthropic Claude)
- Automatischer oder manuell bestätigter Versand von E-Mail-Antworten
- Verwaltung und Speicherung von Wissensdatenbanken zur Antwortoptimierung
- Erstellung von Statistiken und Analysen zur E-Mail-Bearbeitung
- Verwaltung von Kundenkontakten und Konversationsverläufen
3. Art der personenbezogenen Daten
Folgende Datenkategorien werden im Auftrag verarbeitet:
- E-Mail-Adressen (Absender und Empfänger)
- Namen und Kontaktdaten von Endkunden
- E-Mail-Inhalte (Betreff, Nachrichtentext, Anhänge)
- E-Mail-Metadaten (Zeitstempel, Message-IDs, Thread-IDs)
- Bestelldaten und Kundennummern (sofern in E-Mails enthalten)
- IP-Adressen und Geräteinformationen der Nutzer
- Nutzungsdaten der Plattform (Zugriffszeiten, Aktionen)
4. Kategorien betroffener Personen
- Endkunden des Auftraggebers (Personen, die E-Mails an den Auftraggeber senden)
- Mitarbeiter und Bevollmächtigte des Auftraggebers
- Sonstige Kommunikationspartner des Auftraggebers
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
- Alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO).
- Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen (siehe TOM).
- Den Auftraggeber bei der Erfüllung seiner Pflichten bezüglich Betroffenenrechte zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO).
- Den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 Abs. 2 DSGVO).
- Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO).
- Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen (Art. 28 Abs. 3 lit. h DSGVO).
6. Unterauftragsverarbeiter
Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann innerhalb von 14 Tagen Einspruch erheben.
Derzeit werden folgende Unterauftragsverarbeiter eingesetzt:
| Unternehmen | Standort | Zweck |
|---|---|---|
| Anthropic PBC | San Francisco, USA | KI-Verarbeitung von E-Mail-Inhalten (Claude API). Übermittlung auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Keine Nutzung der Daten für Trainingszwecke. |
| Supabase Inc. | AWS eu-central-1, Frankfurt, DE | Datenbank, Authentifizierung, Dateispeicherung |
| Vercel Inc. | Edge Network (EU bevorzugt) | Hosting, Serverless Functions, CDN |
| Resend Inc. | USA | Transaktionaler E-Mail-Versand (Systemnachrichten, Benachrichtigungen) |
| Upstash Inc. | EU (Frankfurt) | Redis Cache, Rate Limiting |
| Google LLC | EU / USA | Gmail API, OAuth-Authentifizierung. Übermittlung auf Grundlage von Standardvertragsklauseln. |
7. Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter hat die in der Anlage „Technische und Organisatorische Maßnahmen (TOM)“ beschriebenen Maßnahmen umgesetzt. Diese Maßnahmen gewährleisten ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO.
8. Löschung und Rückgabe personenbezogener Daten
Nach Beendigung des Auftragsverhältnisses löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.
Der Auftraggeber kann vor der Löschung einen Export seiner Daten in einem gängigen, maschinenlesbaren Format anfordern. Der Export umfasst:
- Alle gespeicherten E-Mails und Konversationen
- Kundenkontaktdaten
- Wissensdatenbank-Inhalte
- Statistiken und Konfigurationen
9. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die Einhaltung der in diesem Vertrag festgelegten Pflichten zu überprüfen. Der Auftragsverarbeiter stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen.
Inspektionen können nach angemessener Vorankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten durchgeführt werden. Der Auftragsverarbeiter kann alternativ ein aktuelles Audit-Zertifikat oder einen Bericht eines unabhängigen Prüfers vorlegen.
10. Haftung
Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie den Regelungen des Nutzungsvertrags (AGB).
11. Schlussbestimmungen
Dieser Auftragsverarbeitungsvertrag tritt mit der Registrierung bei Aficial in Kraft und gilt als integraler Bestandteil der Allgemeinen Geschäftsbedingungen. Änderungen bedürfen der Textform.
Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Es gilt deutsches Recht. Gerichtsstand ist Hamburg.
Hinweis: Dieses Dokument dient als Vorlage und ersetzt keine individuelle Rechtsberatung. Wir empfehlen, die Inhalte von einem spezialisierten Rechtsanwalt prüfen zu lassen.