Auftragswächter

AV-Vertrag

Auftragsverarbeitung

Stand: 20. Mai 2026

Dokumentstand

Stand: 20. Mai 2026

Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO für die Software „Auftragswächter“.

Der Vertrag kommt zustande, wenn der vertretungsberechtigte Owner einer Organisation diesen Vertrag im Dashboard annimmt.

1. Parteien

Auftraggeber ist die Organisation, deren vertretungsberechtigter Owner diesen Vertrag im Dashboard oder auf andere dokumentierte Weise annimmt.

Auftragnehmer ist:

Kurz & Reinl GbR
Jahnstraße 7A
90547 Stein
Deutschland

E-Mail: datenschutz@auftragswaechter.de

2. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Auftraggebers, soweit dies zur Bereitstellung, Wartung, Sicherung und Weiterentwicklung der Software „Auftragswächter“ erforderlich ist.

Die Software unterstützt Handwerksbetriebe bei der Erfassung, Strukturierung, Priorisierung, Zusammenfassung und Bearbeitung von E-Mail-Kommunikation aus angebundenen IMAP-/SMTP-Postfächern.

Die Verarbeitung beginnt mit der Nutzung der auftragsbezogenen Funktionen, insbesondere mit der Verbindung eines Postfachs, und dauert für die Laufzeit des Hauptvertrags. Nach Vertragsende werden personenbezogene Daten nach Wahl des Auftraggebers zurückgegeben oder gelöscht, soweit keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

3. Art, Zweck und Umfang der Verarbeitung

Zweck der Verarbeitung ist die Bereitstellung einer mandantenfähigen SaaS-Anwendung für E-Mail- und Vorgangsmanagement im Handwerksbetrieb.

Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken:

  • Anbindung von E-Mail-Postfächern über IMAP und SMTP,
  • Import von E-Mail-Metadaten und E-Mail-Textinhalten,
  • Darstellung von E-Mails, Konversationen und Kontakten im Dashboard und in mobilen Apps,
  • Bildung und Pflege von Konversationen beziehungsweise Vorgängen,
  • Verwaltung von Status, Priorität, Zuständigkeit, Wiedervorlage und Lesestatus,
  • KI-gestützte Analyse vollständiger Konversationsverläufe,
  • Erstellung von Zusammenfassungen, Prioritäten, Fristen, Risiken, Themen und Antwortvorschlägen,
  • Versand und Speicherung ausgehender Antworten, soweit der Auftraggeber SMTP nutzt,
  • Benutzerverwaltung, Einladungen, E-Mail-Verifizierung und Passwort-Zurücksetzung,
  • Feedback-Funktionen,
  • Betrieb, Fehleranalyse, Sicherheit, Missbrauchsprävention, Abrechnung und Support.

E-Mail-Inhalte werden gespeichert, damit E-Mails angezeigt, Konversationen nachvollzogen, gesucht und bei Bedarf erneut bewertet werden können.

Anhänge werden nach aktuellem technischen Stand nicht vollständig in der Datenbank gespeichert. Gespeichert werden nur Anhangs-Metadaten wie Dateiname, MIME-Typ, Größe und Zuordnung zur Nachricht. Der Abruf des eigentlichen Anhangs erfolgt bei Bedarf über das verbundene Postfach.

4. Kategorien personenbezogener Daten

Es können insbesondere folgende Datenkategorien verarbeitet werden:

  • Organisationsdaten, zum Beispiel Organisationsname, Plan, Rollen und Mitgliedschaften,
  • Nutzerdaten, zum Beispiel Name, E-Mail-Adresse, Rolle und E-Mail-Verifizierungsstatus,
  • Authentifizierungsdaten, zum Beispiel Passwort-Hashes, Token-Hashes, Einladungs- und Reset-Token,
  • Mailbox-Daten, zum Beispiel E-Mail-Adresse, IMAP-/SMTP-Serverdaten, synchronisationsbezogene IDs, verschlüsselte Zugangsdaten und Sync-Status,
  • E-Mail-Metadaten, zum Beispiel Absender, Empfänger, CC, Betreff, Datum, Message-ID, References/In-Reply-To, Größe und Anhangsindikatoren,
  • E-Mail-Inhalte eingehender Nachrichten und ausgehender Antworten,
  • Anhangs-Metadaten,
  • Kontakt- und Kundendaten, zum Beispiel Namen, E-Mail-Adressen, Telefonnummern, Anschriften und sonstige im E-Mail-Text enthaltene Geschäftskontakte,
  • Konversationsdaten, zum Beispiel Titel, Status, Priorität, Zuständigkeit, Wiedervorlage, Notizen und Lesestatus,
  • KI-Ergebnisse, zum Beispiel Zusammenfassungen, Hauptthema, Priorität, Fristen, Versprechen, Risikosignale, Antwortentwürfe und Konfidenzwerte,
  • Feedback- und Supportdaten,
  • technische Betriebsdaten, zum Beispiel Logdaten, IP-Adressen soweit erforderlich, Zeitstempel, Fehler- und Systemereignisse.

5. Kategorien betroffener Personen

Betroffene Personen sind insbesondere:

  • Nutzer des Auftraggebers,
  • Mitarbeiter des Auftraggebers,
  • Kunden und Interessenten des Auftraggebers,
  • Lieferanten und Geschäftspartner des Auftraggebers,
  • Ansprechpartner von Behörden, Verbänden oder sonstigen Stellen,
  • sonstige Personen, deren Daten in E-Mails oder Konversationen enthalten sind.

6. Weisungsbindung und Zweckbindung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Weisungen ergeben sich aus diesem Vertrag, dem Hauptvertrag, der Nutzung der Software, dokumentierten Konfigurationen und Einzelweisungen in Textform.

Eine Verarbeitung für eigene Zwecke des Auftragnehmers, insbesondere für Werbung, Verkauf von Daten oder Training eigener KI-Modelle, findet nicht statt.

Hält der Auftragnehmer eine Weisung für datenschutzwidrig, informiert er den Auftraggeber unverzüglich und setzt die Ausführung der Weisung aus, soweit dies rechtlich geboten ist.

7. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich insbesondere:

  • personenbezogene Daten nur im Umfang dieses Vertrags und dokumentierter Weisungen zu verarbeiten,
  • die mit der Verarbeitung betrauten Personen auf Vertraulichkeit zu verpflichten,
  • angemessene technische und organisatorische Maßnahmen umzusetzen und regelmäßig zu überprüfen,
  • den Auftraggeber bei Betroffenenrechten, Datenschutz-Folgenabschätzungen und Konsultationen der Aufsichtsbehörde angemessen zu unterstützen,
  • den Auftraggeber bei Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO zu unterstützen,
  • erforderliche Nachweise zu führen,
  • Unterauftragsverarbeiter nur nach Maßgabe dieses Vertrags einzusetzen.

8. Pflichten des Auftraggebers

Der Auftraggeber bleibt Verantwortlicher im Sinne der DSGVO und entscheidet über Zulässigkeit, Zweck und Umfang der Verarbeitung.

Der Auftraggeber stellt insbesondere sicher, dass:

  • die Nutzung von IMAP-/SMTP-Postfächern rechtmäßig ist,
  • der Import und die KI-Analyse von E-Mails rechtmäßig erfolgen,
  • betroffene Personen erforderlichenfalls informiert werden,
  • eigene Nutzer ordnungsgemäß berechtigt und verwaltet werden,
  • Weisungen klar und nachvollziehbar erteilt werden,
  • erkannte Fehler oder Sicherheitsvorfälle unverzüglich gemeldet werden.

9. KI-Verarbeitung über Azure OpenAI

Für die KI-gestützte Analyse werden relevante Konversationsdaten, E-Mail-Inhalte, Metadaten und manuelle Notizen an Azure OpenAI übermittelt.

Zweck ist ausschließlich die Erstellung strukturierter Ergebnisse wie Zusammenfassung, Priorität, Fristen, Risikosignale, Zuständigkeit, Themenklasse und Antwortvorschläge.

Die KI-Verarbeitung erfolgt nach aktuellem technischen Stand über Azure OpenAI Service in der Region Sweden Central. Es wird kein direkter OpenAI-API-Zugang produktiv genutzt.

Nach der Microsoft-Dokumentation werden Prompts und Outputs bei Azure OpenAI nicht verwendet, um OpenAI-, Azure-OpenAI-Basis- oder andere Microsoft- beziehungsweise Drittanbieterprodukte ohne Erlaubnis zu trainieren oder zu verbessern.

Der Auftragnehmer speichert nur die für den Auftrag erforderlichen Daten und Ergebnisse nach Maßgabe der vereinbarten Löschfristen.

10. Unterauftragsverarbeiter

Der Auftraggeber genehmigt die in der Unterauftragsverarbeiter-Liste aufgeführten Unterauftragsverarbeiter.

Aktuell produktiv relevante Unterauftragsverarbeiter sind insbesondere:

  • Render Services, Inc. für Hosting, Datenbank, Redis beziehungsweise Key-Value-Dienste, Worker, Scheduler und technische Betriebsdaten,
  • Microsoft Azure / Azure OpenAI Service für KI-Verarbeitung,
  • Postscale / DNScale OÜ für transaktionale System-E-Mails.

Über geplante Änderungen bei Unterauftragsverarbeitern informiert der Auftragnehmer den Auftraggeber mindestens 30 Tage im Voraus in Textform oder über ein geeignetes elektronisches Verfahren. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

Soweit Unterauftragsverarbeiter oder deren verbundene Unternehmen in Drittländern eingebunden sind oder ein Drittlandzugriff nicht ausgeschlossen werden kann, stellt der Auftragnehmer sicher, dass geeignete Garantien nach Kapitel V DSGVO bestehen, insbesondere Angemessenheitsbeschlüsse, EU-Standardvertragsklauseln und ergänzende technische und organisatorische Maßnahmen.

Die vom Auftraggeber selbst gewählten E-Mail-Provider, zum Beispiel IONOS, Strato, GMX, Web.de, T-Online oder andere IMAP-/SMTP-Anbieter, werden vom Auftraggeber ausgewählt und vertraglich verantwortet. Der Auftragnehmer greift im Auftrag des Auftraggebers über die bereitgestellten Zugangsdaten auf diese Postfächer zu. Diese Anbieter sind regelmäßig keine vom Auftragnehmer ausgewählten Unterauftragsverarbeiter.

11. Vertraulichkeit und Sicherheit

Der Auftragnehmer stellt sicher, dass mit der Verarbeitung betraute Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Zugriff auf personenbezogene Daten erhalten nur Personen, die diesen Zugriff zur Erfüllung ihrer Aufgaben benötigen.

Die technischen und organisatorischen Maßnahmen berücksichtigen insbesondere Mandantentrennung, rollenbasierte Rechte, TLS-Verschlüsselung, verschlüsselte Speicherung von Mailbox-Zugangsdaten, Passwort-Hashing, Protokollierung sicherheitsrelevanter Ereignisse und regelmäßige Backups durch die Infrastrukturbetreiber.

12. Nachweise und Audits

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die zur Prüfung der Einhaltung dieses Vertrags erforderlichen Informationen bereit, soweit dadurch keine Rechte anderer Kunden, Geschäftsgeheimnisse oder Sicherheitsinteressen verletzt werden.

Audits erfolgen vorrangig durch Bereitstellung geeigneter Nachweise, Beschreibungen, Zertifizierungen, Sicherheitsdokumentationen oder Fragebogenantworten.

Vor-Ort-Prüfungen sind nach vorheriger Abstimmung, angemessener Ankündigung und unter Wahrung von Vertraulichkeit und Sicherheitsvorgaben möglich, soweit sie erforderlich und verhältnismäßig sind.

13. Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten, die Daten des Auftraggebers betreffen.

Die Meldung enthält, soweit verfügbar, Art und Umfang des Vorfalls, betroffene Daten und Personen, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen.

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Erfüllung von Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.

14. Löschung, Rückgabe und Datenportabilität

Während der Vertragslaufzeit löscht der Auftragnehmer personenbezogene Daten nach den vereinbarten Löschfristen, nach Weisung des Auftraggebers oder wenn sie für den Verarbeitungszweck nicht mehr erforderlich sind.

Aktuell gilt:

  • Konversationen und gespeicherte E-Mail-Inhalte werden grundsätzlich nach 60 Tagen bereinigt, soweit nicht abweichend konfiguriert oder gesetzlich erforderlich.
  • Wird eine Organisation gelöscht, wird sie zunächst deaktiviert und zur endgültigen Löschung vorgemerkt.
  • Die endgültige Löschung der Organisation und der zugehörigen organisationsbezogenen Daten erfolgt nach aktueller technischer Umsetzung automatisch nach 30 Tagen.
  • Verbundene Postfächer können gelöscht werden. Dies betrifft die lokale Speicherung in Auftragswächter, nicht das externe Originalpostfach.
  • Backups und technisch zwingende Sicherungskopien werden nach Ablauf der jeweiligen Backup-Zyklen überschrieben oder gelöscht.

Nach Vertragsende gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers in einem gängigen Format zurück oder löscht sie datenschutzkonform, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

15. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt insbesondere folgende Maßnahmen ein:

  • Hosting der produktiven Dienste in europäischen Regionen, aktuell Render Frankfurt,
  • KI-Verarbeitung über Azure OpenAI in Sweden Central,
  • Zugriffsbeschränkung auf Produktionssysteme,
  • rollenbasierte Zugriffsrechte innerhalb von Organisationen,
  • Mandantentrennung über Organisationszuordnung,
  • verschlüsselte Übertragung per HTTPS/TLS,
  • IMAP-/SMTP-Verbindungen über SSL/TLS oder STARTTLS nach Providerkonfiguration,
  • verschlüsselte Speicherung sensibler Mailbox-Zugangsdaten,
  • Speicherung von Passwörtern ausschließlich als Hash,
  • E-Mail-Verifikation für neue Nutzer,
  • Einladungsworkflow für weitere Nutzer,
  • zeitlich begrenzte Token für Einladungen und Passwort-Zurücksetzungen,
  • Rate-Limits für sicherheitsrelevante Vorgänge,
  • keine absichtliche Protokollierung vollständiger E-Mail-Inhalte in Anwendungslogs,
  • keine dauerhafte Speicherung vollständiger Anhänge in der Datenbank,
  • automatische Löschprozesse für alte Konversationen und gelöschte Organisationen.

16. Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die datenschutzrechtlichen Regelungen dieses Vertrags vor.

Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt deutsches Recht.