Auftragsverarbeitungsvertrag (AVV)
nach Art. 28 DSGVO
Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen dem jeweiligen Nutzer von Craft Circle (nachfolgend „Auftraggeber") und
Florian Götze
Berner Allee 80, 22159 Hamburg, Deutschland
E-Mail: info@craft-circle.de
(nachfolgend „Auftragnehmer")
gemeinsam auch „Parteien". Dieser AVV gilt für die Nutzung der Software Craft Circle (SaaS) und ergänzt die AGB. Er wird mit der Nutzung bzw. durch Zustimmung im Rahmen der Registrierung / Vertragsannahme wirksam.
1. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung, des Betriebs und der Wartung der SaaS-Plattform Craft Circle. Der AVV gilt für die Dauer des Hauptvertrags sowie bis zur vollständigen Rückgabe/Löschung der Daten.
2. Art und Zweck der Verarbeitung
Der Auftragnehmer verarbeitet Daten ausschließlich zur Erbringung der vertraglichen Leistungen, insbesondere: Erfassung von Arbeitsnachweisen, Terminen und Notizen (per Sprache oder Text), KI-gestützte Transkription und Strukturierung dieser Eingaben, Verwaltung von Kunden, Händlern und Material, Kalender- und Erinnerungsfunktionen, Synchronisation/Backups, Support sowie Abrechnung/Subscription.
3. Art der Daten
- Stammdaten (z. B. Name, Anschrift, Kontaktdaten von Kunden und Händlern, Kunden-/Lieferantennummern)
- Vertrags- und Abrechnungsdaten (z. B. Zahlungsstatus, Stripe-Customer-Referenz)
- Arbeits- und Leistungsdaten (z. B. Tätigkeiten, Termine, Materiallisten, Stunden, Notizen, Sprachaufnahmen und deren Transkripte)
- Nutzungs- und Protokolldaten (z. B. Login-Zeitpunkte, technische Logs, Geräte-/Browser-Metadaten)
4. Kategorien betroffener Personen
- Kunden/Interessenten des Auftraggebers
- Lieferanten/Händler und deren Ansprechpartner (soweit erfasst)
- Mitarbeiter/Erfüllungsgehilfen des Auftraggebers (soweit erfasst)
5. Weisungsrecht
Der Auftragnehmer verarbeitet Daten nur auf dokumentierte Weisung des Auftraggebers, soweit nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht. Weisungen können über die Produktfunktionen (z. B. Export und Löschung in den Einstellungen) sowie in Textform (E-Mail) erteilt werden.
6. Pflichten des Auftragnehmers
- Vertraulichkeit der mit der Verarbeitung befassten Personen.
- Umsetzung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen (Anlage 2).
- Unterstützung bei Betroffenenrechten, Meldung von Datenschutzvorfällen und Datenschutz-Folgenabschätzung im Rahmen der Zumutbarkeit.
- Rückgabe oder Löschung der Daten nach Vertragsende gemäß Ziffer 12.
7. Pflichten des Auftraggebers
- Rechtsgrundlagen, Informationspflichten und ggf. Einwilligungen gegenüber den betroffenen Personen (insbesondere den eigenen Kunden) liegen in der Verantwortung des Auftraggebers.
- Der Auftraggeber ist für Inhalte, Datenqualität, Rechtmäßigkeit der Datenübermittlung sowie für eine angemessene Zugangs- und Rechteverwaltung (Passwörter, Gerätesicherheit) verantwortlich.
8. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer setzt TOMs gemäß Anlage 2 um. TOMs können weiterentwickelt werden, sofern das Sicherheitsniveau nicht unterschritten wird.
9. Unterauftragsverarbeiter
Der Auftragnehmer setzt Unterauftragsverarbeiter ein (Anlage 3). Der Auftraggeber erteilt hierfür eine allgemeine Genehmigung. Über wesentliche Änderungen (Hinzufügen/Ersetzen) wird der Auftraggeber in geeigneter Form informiert; er kann aus wichtigem Grund widersprechen.
10. Drittlandtransfer
Soweit im Rahmen der eingesetzten Dienste Daten in Drittländer (insbesondere die USA) übermittelt werden, erfolgt dies ausschließlich unter Beachtung der gesetzlichen Vorgaben – insbesondere auf Grundlage des EU-US Data Privacy Framework (soweit der Anbieter zertifiziert ist) und/oder der EU-Standardvertragsklauseln (SCCs).
11. Kontrollrechte / Nachweise
Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV nach angemessener Vorankündigung zu überprüfen. Als Nachweis können insbesondere aktuelle Sicherheits- und Compliance-Informationen der eingesetzten Plattformdienste sowie eine schriftliche Eigenerklärung dienen. Vor-Ort-Audits nur, sofern erforderlich und nach Abstimmung.
12. Rückgabe und Löschung nach Vertragsende
Nach Ende des Hauptvertrags löscht der Auftragnehmer die im Auftrag verarbeiteten Daten innerhalb angemessener Frist, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Fordert der Auftraggeber vorab einen Export über die Produktfunktionen an, hat dies Vorrang. Backups werden im Rahmen der Backup-Zyklen überschrieben/gelöscht.
13. Meldung von Datenschutzvorfällen
Der Auftragnehmer informiert den Auftraggeber ohne unangemessene Verzögerung über Verletzungen des Schutzes personenbezogener Daten, soweit diese Daten des Auftraggebers betreffen, und unterstützt bei der Erfüllung gesetzlicher Meldepflichten.
14. Haftung
Für Haftung und Haftungsbegrenzung gelten die Regelungen des Hauptvertrags/der AGB, soweit gesetzlich zulässig. Die zwingenden Regelungen der DSGVO bleiben unberührt.
15. Schlussbestimmungen
Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Im Konfliktfall gehen die Regelungen dieses AVV den übrigen vertraglichen Regelungen zur Auftragsverarbeitung vor.
Anlage 1 — Beschreibung der Verarbeitung
- Gegenstand: Bereitstellung und Betrieb der SaaS-Plattform Craft Circle.
- Zwecke: Sprach-/Texterfassung, KI-Transkription und -Strukturierung, Kunden-/Händler-/Materialverwaltung, Kalender/Erinnerungen, Cloud-Sync/Backups, Support, Abrechnung.
- Verarbeitungsvorgänge: Erheben, Speichern, Strukturieren, Übermitteln (z. B. an Transkriptions-, KI- und Zahlungsdienste), Löschen.
Anlage 2 — Technische und organisatorische Maßnahmen (TOMs)
- Zugriffskontrolle: Authentifizierung, mandantengetrennte Datenhaltung über Row-Level-Security (jeder Nutzer sieht nur seine Daten), Prinzip der minimalen Rechte.
- Übertragung: TLS/HTTPS für sämtlichen Transport, gesicherte API-Kommunikation.
- Speicherung: Datenbank und Datei-Storage in der EU (Frankfurt), Zugriffsschutz, serverseitige Zugriffsprüfung.
- Protokollierung: technische Logs zur Fehleranalyse und Missbrauchserkennung.
- Verfügbarkeit: Backup-/Restore-Konzepte des Plattformanbieters, Monitoring, Incident-Prozesse.
- Integrität: Eingabevalidierung und serverseitige Berechtigungsprüfungen (Row-Level-Security) zum Schutz vor unberechtigter Änderung.
- Datenschutz durch Technik: Datenminimierung, Zweckbindung, integrierte Export- und Löschfunktionen.
Anlage 3 — Unterauftragsverarbeiter
- Supabase — Datenbank, Authentifizierung, Datei-Storage (Datenbankstandort: Frankfurt, Deutschland).
- Vercel Inc. — Hosting/Auslieferung der Anwendung (USA).
- Stripe — Zahlungsabwicklung und Subscription-Management.
- OpenAI — Transkription von Sprachaufnahmen (USA).
- Anthropic — KI-gestützte Strukturierung der Inhalte (USA).
Stand: Juni 2026 | Datenschutzerklärung | AGB | Impressum