Kunden-Login
    Packfy Logo
    Jetzt kostenlos loslegen

    Auftragsverarbeitungsvertrag (AVV)

    Vertrag über die Verarbeitung von personenbezogenen Daten im Auftrag gemäß Art. 28 DSGVO

    Stand: 01.06.2026

    Vertragsparteien

    Auftragsverarbeiter (Anbieter):

    Jens Lang, Langsicht, ℅ IP-Management #9439, Ludwig-Erhard-Straße 18, 20459 Hamburg, support@packfy.de

    Auftraggeber (Kunde):

    Der im Hauptvertrag (AGB Packfy) benannte Vertragspartner.

    1. Gegenstand der Auftragsverarbeitung

    Die Auftragsverarbeitung erfolgt im Rahmen der folgenden Rechtsbeziehung (Hauptvertrag): Der Auftragsverarbeiter (Packfy, betrieben durch Jens Lang, Langsicht) stellt dem Auftraggeber (Kunde) eine Software-as-a-Service (SaaS)-Plattform zur Verfügung, die als White-Label-Lösung von GoHighLevel betrieben wird. Im Rahmen dieser Plattform kann der Auftraggeber personenbezogene Daten erfassen, speichern, verarbeiten und verwalten.

    Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich zur Erfüllung der vereinbarten Leistungen und gemäß den Anweisungen des Auftraggebers.

    Art der Auftragsverarbeitung

    Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter umfasst folgende Tätigkeiten:

    Erhebung und Speicherung:

    • Erfassung und Speicherung von Kontaktdaten und Kommunikationsverläufen der Kunden des Auftraggebers.
    • Speicherung von Transaktionsdaten und Nutzungsinformationen der Plattform.

    Verwaltung und Organisation:

    • CRM-Funktionen zur Verwaltung von Leads und Kundenkontakten.
    • Organisation und Automatisierung von Marketing- und Vertriebsprozessen.
    • Speicherung und Kategorisierung von Kundeninteraktionen.

    Kommunikation und Marketing:

    • Versand von E-Mails, SMS oder WhatsApp-Nachrichten im Auftrag des Auftraggebers.
    • Automatisierte Kampagnen, Follow-ups und Newsletter-Versand.
    • Tracking und Analyse von Interaktionen zur Optimierung von Maßnahmen.

    Datenanalyse und Reporting:

    • Erstellung von Statistiken und Auswertungen über Kampagnen-Ergebnisse.
    • Bereitstellung von Analyse-Dashboards zur Performance-Messung.

    Integration von Drittanbietern:

    • Schnittstellen zu Zahlungsdienstleistern (z. B. Stripe).
    • Nutzung von Kommunikationsanbietern (z. B. Twilio für SMS-Versand).
    • Einbindung externer Marketing- und Automatisierungstools.

    Hosting und Speicherung:

    • Speicherung der personenbezogenen Daten auf Servern des Unterauftragsverarbeiters GoHighLevel Inc.
    • Sicherstellung der Datenverfügbarkeit und Schutzmaßnahmen gegen unbefugten Zugriff.

    Datenlöschung und Anonymisierung:

    • Löschung oder Anonymisierung von Daten gemäß den Weisungen des Auftraggebers oder nach Ablauf gesetzlicher Fristen.

    Kategorien betroffener Personen

    • Kunden des Auftraggebers (Leads, Interessenten, Käufer).
    • Mitarbeiter des Auftraggebers, soweit ihre Daten in der Plattform verarbeitet werden.
    • Nutzer der Plattform, die sich registrieren oder Anfragen stellen.

    Kategorien personenbezogener Daten

    • Stammdaten: Name, E-Mail-Adresse, Telefonnummer, Anschrift.
    • Kommunikationsdaten: E-Mails, Chat-Nachrichten, Telefonnotizen.
    • Nutzungsdaten: Login-Daten, IP-Adressen, verwendete Funktionen.
    • Marketing-Daten: Öffnungsraten, Klickraten, Kampagnenreaktionen.
    • Transaktionsdaten: Kaufhistorie, Rechnungsdaten, Zahlungsvorgänge.

    Besondere Datenverarbeitung & Verpflichtungen

    • Es werden keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO, z. B. Gesundheitsdaten, religiöse Überzeugungen) verarbeitet.
    • Der Auftraggeber muss sicherstellen, dass er die erforderlichen Einwilligungen für die Verarbeitung personenbezogener Daten (z. B. für Marketingkommunikation) von seinen Kunden eingeholt hat.
    • Der Auftragsverarbeiter übernimmt keine rechtliche Verantwortung für die Rechtmäßigkeit der Datenerhebung durch den Auftraggeber.

    2. Maßnahmen bei Gefährdung oder Verletzung des Datenschutzes

    Die Information über eine (mögliche) Verletzung des Schutzes personenbezogener Daten hat unverzüglich, grundsätzlich innerhalb von 24 Stunden ab Kenntniserlangung, zu erfolgen.

    Die Meldung des Auftragsverarbeiters muss entsprechend Art. 33 Abs. 3 DSGVO mindestens die folgenden Angaben beinhalten:

    • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der betroffenen Kategorien von Daten und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze.
    • Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlauf- oder Kontaktstelle für weitere Informationen.
    • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (z. B. Identitätsdiebstahl, Vermögensnachteile).
    • Eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

    3. Unterauftragsverhältnisse

    Der Auftragsverarbeiter wählt den Unterauftragsverarbeiter unter besonderer Berücksichtigung der Eignung und der Zuverlässigkeit zur Einhaltung der Pflichten aus diesem Auftragsverarbeitungsvertrag sowie der Eignung der vom Unterauftragsverarbeiter getroffenen TOMs sorgfältig aus.

    Verarbeitungen von personenbezogenen Daten, die keinen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen und bei denen der Auftragsverarbeiter Leistungen Dritter als reine Nebenleistung in Anspruch nimmt (z. B. Reinigungs-, Bewachungs-, Wartungs-, Telekommunikations- oder Transportleistungen), stellen keine Unterauftragsverarbeitung im Sinne der vorstehenden Regelungen dar. Gleichwohl hat der Auftragsverarbeiter sicherzustellen, z. B. durch vertragliche Vereinbarungen, dass hierbei die Sicherheit der Daten nicht gefährdet wird.

    4. Räumlicher Bereich der Auftragsverarbeitung

    Die Verarbeitung darf in Drittstaaten erfolgen, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, d. h. insbesondere:

    • die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat, oder
    • auf Grundlage von wirksamen Standardschutzklauseln (Standard Contractual Clauses, SCC), oder
    • auf Grundlage von anerkannten verbindlichen internen Datenschutzvorschriften.

    Die Genehmigung von Unterauftragsverhältnissen durch den Auftraggeber im Rahmen dieses Auftragsverarbeitungsvertrages erstreckt sich auch auf den räumlichen Bereich der Auftragsverarbeitung.

    5. Pflichten des Auftraggebers

    Der Auftraggeber hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen, Weisungen oder Verarbeitungsprozessen Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt.

    Im Falle einer Inanspruchnahme des Auftragsverarbeiters durch betroffene Personen, dritte Unternehmen, Stellen oder Behörden hinsichtlich etwaiger Ansprüche aufgrund der Verarbeitung von personenbezogenen Daten im Rahmen dieses Auftragsverarbeitungsvertrages, verpflichtet sich der Auftraggeber, den Auftragsverarbeiter bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten und unter Berücksichtigung des Verschuldensgrades der Vertragsparteien zu unterstützen.

    6. Laufzeit, Fortgeltung nach Vertragsende und Datenlöschung

    Laufzeit und Ende dieses Auftragsverarbeitungsvertrages richten sich nach der Laufzeit und dem Ende des Hauptvertrages (AGB Packfy).

    Die Kündigung dieses Auftragsverarbeitungsvertrages sowie die Aufhebung dieser Formklausel müssen zumindest im elektronischen Format erfolgen.

    Die sich aus dem Auftragsverarbeitungsvertrag ergebenden Pflichten zum Schutz vertraulicher Informationen gelten auch nach Ende des Auftragsverarbeitungsvertrages fort, sofern der Auftragsverarbeiter weiterhin die vom Auftragsverarbeitungsvertrag umfassten personenbezogenen Daten verarbeitet.

    Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung und Sicherstellung der TOMs dienen, sind durch den Auftragsverarbeiter zumindest drei Jahre auch über das Vertragsende hinaus aufzubewahren. Der Auftragsverarbeiter kann die Dokumentationen zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.

    7. Schlussbestimmungen

    Der Gerichtsstand bestimmt sich nach dem Hauptvertrag (AGB Packfy). Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist der Sitz des Auftragsverarbeiters, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

    Der vorliegende Auftragsverarbeitungsvertrag stellt die vollständige, zwischen den Vertragsparteien getroffene Vereinbarung dar. Nebenabreden bestehen nicht.

    Mit Zustandekommen dieses Auftragsverarbeitungsvertrages werden alle etwaigen früheren Verträge aufgehoben, die zwischen den Vertragsparteien dieses Vertrages abgeschlossen wurden und die die Verarbeitung personenbezogener Daten im Auftrag regeln, wenn und soweit diese den gleichen Gegenstand der Auftragsverarbeitung betreffen.

    Änderungen sowie Ergänzungen dieses Auftragsverarbeitungsvertrages sowie die Aufhebung dieser Formklausel müssen zumindest im elektronischen Format erfolgen.

    Sollten einzelne Bestimmungen dieses Auftragsverarbeitungsvertrages unwirksam oder undurchführbar sein, so wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt.

    Dieser Auftragsverarbeitungsvertrag ist ein Teil des Hauptvertrages und wird mit dessen Abschluss wirksam.

    Anhang 1: Technisch-organisatorische Maßnahmen (TOMs)

    Es wird für die konkrete Auftragsverarbeitung und die in ihrem Rahmen verarbeiteten personenbezogenen Daten ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

    Organisatorische Maßnahmen

    • Der Auftragsverarbeiter hat ein angemessenes Datenschutzmanagementsystem implementiert und gewährleistet dessen Umsetzung.
    • Eine geeignete Organisationsstruktur für die Datensicherheit und den Datenschutz ist vorhanden und in unternehmensweite Prozesse integriert.
    • Es werden regelmäßig System- und Sicherheitstests (z. B. Code-Scan und Penetrationstests) durchgeführt.
    • Die Entwicklung des Standes der Technik sowie Bedrohungen und Sicherheitsmaßnahmen werden fortlaufend beobachtet.
    • Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden, werden sorgfältig ausgewählt und auf Verschwiegenheit und Vertraulichkeit verpflichtet.
    • Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren berücksichtigt (Privacy by Design & Default).
    • Eingesetzte Software und Hardware wird stets auf dem aktuell verfügbaren Stand gehalten. Es wird keine Software und Hardware eingesetzt, die von den Anbietern nicht mehr aktualisiert wird.
    • Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen.
    • Es liegt ein den Datenschutzanforderungen und dem Stand der Technik entsprechendes Lösch- und Entsorgungskonzept vor.
    • Die Verarbeitung der Daten des Auftraggebers, die nicht entsprechend den Vereinbarungen gelöscht wurden, wird im erforderlichen Umfang durch Sperrvermerke und/oder Aussonderung eingeschränkt.

    Datenschutz auf Mitarbeiterebene

    • Mitarbeiter werden auf Vertraulichkeit und Verschwiegenheit (Datenschutzgeheimnis) verpflichtet.
    • Mitarbeiter werden im Hinblick auf den Datenschutz entsprechend den Anforderungen ihrer Funktion sensibilisiert und unterrichtet. Die Schulung wird in angemessenen Zeitabständen wiederholt.
    • Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden (Home- und Mobileoffice), werden sie über die speziellen Sicherheitsanforderungen unterrichtet.
    • An Mitarbeiter ausgegebene Schlüssel, Zugangskarten oder Codes sowie erteilte Berechtigungen werden nach deren Ausscheiden eingezogen bzw. entzogen.

    Zutrittskontrolle

    • Es werden, bis auf die Arbeitsplatzrechner und mobile Geräte, keine Datenverarbeitungsanlagen in den eigenen Geschäftsräumlichkeiten unterhalten. Die Daten des Auftraggebers werden bei externen Server-Anbietern unter Beachtung der Vorgaben für Auftragsverarbeitung gespeichert.
    • Es findet eine Personenkontrolle beim Pörtner oder am Empfang statt.
    • Der Zutritt ist durch ein Chipkarten- oder Transponder-Schließsystem gesichert.
    • Mitarbeiter werden verpflichtet, Geräte zu sperren oder besonders zu sichern, wenn sie ihre Arbeitsumgebung verlassen.
    • Unterlagen und Datenträger werden sicher aufbewahrt und vor Zugriff durch unbefugte Personen geschützt.

    Zugangskontrolle

    • Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt. Es wird eine Passwort-Management-Software eingesetzt.
    • Für den Zugang zu Daten des Auftraggebers wird eine Zwei-Faktor-Authentifizierung verwendet.
    • Zugangsdaten werden, wenn deren Benutzer das Unternehmen verlassen haben, gelöscht oder deaktiviert.

    Interne Zugriffskontrolle und Eingabekontrolle

    • Ein Rechte- und Rollenkonzept (Berechtigungskonzept) sorgt dafür, dass der Zugriff auf personenbezogene Daten nur für einen nach Erforderlichkeitsmaßstäben ausgewählten Personenkreis und nur im erforderlichen Umfang möglich ist.
    • Die Tätigkeiten der Administratoren werden im Rahmen rechtlich zulässiger Möglichkeiten angemessen überwacht und protokolliert.
    • Es wird sichergestellt, dass nachvollziehbar ist, welche Beschäftigten oder Beauftragten auf welche Daten wann Zugriff hatten.

    Auftragskontrolle, Zweckbindung und Trennungskontrolle

    • Sorgfältige Auswahl von Unterauftragsverarbeitern und sonstigen Dienstleistern.
    • Mitarbeiter und Beauftragte werden verständlich und deutlich über die Weisungen des Auftraggebers und den zulässigen Verarbeitungsrahmen informiert und entsprechend instruiert.
    • Die Einhaltung von Weisungen des Auftraggebers und des zulässigen Rahmens der Verarbeitung wird in angemessenen Abständen überprüft.
    • Die personenbezogenen Daten des Auftraggebers werden von Daten anderer Verarbeitungsverfahren des Auftragsverarbeiters logisch getrennt verarbeitet und vor unberechtigtem Zugriff geschützt.

    Anhang 2: Unterauftragsverarbeiter

    Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter im Rahmen der Verarbeitung von Daten für den Auftraggeber ein:

    GoHighLevel LLC

    Plattformbetrieb (technische Infrastruktur der Packfy-Plattform).

    Amazon Web Services (AWS)

    Bereitstellung von informationstechnischer Infrastruktur (z. B. Speicherplatz und Rechenkapazitäten).

    Dienstanbieter: Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855, Luxemburg.

    Website: https://aws.amazon.com/de/

    Datenschutzerklärung: https://aws.amazon.com/de/privacy/

    AVV: https://aws.amazon.com/de/compliance/gdpr-center/

    Meta – Pixel, Custom Audiences & Advanced Analytics

    Zielgruppenbildung, Tracking und Analyse für Marketingzwecke.

    Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland.

    Website: https://www.facebook.com

    Datenschutzerklärung: https://www.facebook.com/privacy/policy/

    AVV: https://www.facebook.com/legal/terms/dataprocessing

    WhatsApp

    Textnachrichten, Sprach- und Videoanrufe, Versenden von Bildern, Videos und Dokumenten.

    Dienstanbieter: WhatsApp Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland.

    Website: https://www.whatsapp.com/

    Datenschutzerklärung: https://www.whatsapp.com/legal

    Twilio

    Cloud-Kommunikationsplattform für programmgesteuerte Anrufe und SMS.

    Dienstanbieter: Twilio Ireland Limited, 25–28 North Wall Quay, Dublin 1, D01 H104, Irland.

    Website: https://www.twilio.com

    Datenschutzerklärung: http://www.twilio.com/en-us/legal/privacy

    AVV: https://www.twilio.com/en-us/legal/data-protection-addendum

    SendGrid

    E-Mail-Versand und Kommunikationsplattform für Transaktions- und Marketing-E-Mails.

    Dienstanbieter: Twilio Ireland Limited, 25–28 North Wall Quay, Dublin 1, D01 H104, Irland.

    Website: https://sendgrid.com

    Datenschutzerklärung: https://www.twilio.com/legal/privacy

    AVV: https://www.twilio.com/legal/data-protection-addendum

    Mailgun

    E-Mail-Versand- und Automatisierungsdienste.

    Dienstanbieter: Mailgun Technologies, Inc., 535 Mission St., San Francisco, CA 94105, USA.

    Website: https://www.mailgun.com

    Datenschutzerklärung: https://www.mailgun.com/legal/privacy-policy/

    AVV: https://www.mailgun.com/de/rechtliches/av-vertrag/

    Google Analytics

    Messung und Analyse der Nutzung des Onlineangebotes.

    Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

    Website: https://marketingplatform.google.com/intl/de/about/analytics/

    Datenschutzerklärung: https://policies.google.com/privacy

    AVV: https://business.safety.google/adsprocessorterms/

    Opt-Out: https://tools.google.com/dlpage/gaoptout?hl=de

    Stripe

    Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden).

    Dienstanbieter: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.

    Website: https://stripe.com

    Datenschutzerklärung: https://stripe.com/de/privacy

    Lola
    Hi! Ich bin Lola. Hast du eine Frage? Schreib mir einfach hier.