Rechtliches
Auftragsverarbeitungsvereinbarung
Inhaltsverzeichnis
- § Vertragsparteien
- A1 Gegenstand & Dauer
- A2 Datenkategorien
- A3 Weisungen
- A4 Pflichten Survaluate
- A5 Pflichten Kunde
- A6 Technische Maßnahmen
- A7 Unterauftragsverarbeiter
- A8 Drittlandübermittlung
- A9 Datenschutzverletzungen
- A10 Betroffenenrechte
- A11 Löschung & Rückgabe
- A12 Nachweise & Audits
- A13 Schlussbestimmungen
📋 Diese AVV gilt automatisch mit Abschluss eines Vertrags über Survaluate. Es bedarf keiner gesonderten Unterschrift — die Akzeptanz beim Registrierungsprozess genügt (Textform nach Art. 28 Abs. 9 DSGVO).
§ Vertragsparteien
Auftragsverarbeiter (Survaluate)
| Name | Christoph Ritter |
| Adresse | Im Strich 18, 21712 Großenwörden, Deutschland |
| hallo@survaluate.de | |
| Datenschutzkontakt | hallo@survaluate.de |
Verantwortlicher (Kunde)
Der Verantwortliche ist das Unternehmen oder die Person, die sich über survaluate.de/registrierung registriert und dabei die AGB und diese AVV akzeptiert hat. Die AVV gilt ab dem Zeitpunkt der Registrierung.
A1 Gegenstand, Dauer, Art & Zweck der Verarbeitung
1.1Gegenstand: Bereitstellung, Betrieb, Wartung und Weiterentwicklung der SaaS-Plattform Survaluate zur Erhebung, Verwaltung und Auswertung von anonymem Kundenfeedback.
1.2Dauer: Die Verarbeitung erfolgt für die Dauer des Hauptvertrags zuzüglich etwaiger Export- und Löschfristen (max. 30 Tage nach Vertragsende für Kundendaten, max. 90 Tage für Backups).
1.3Art: Erhebung, Speicherung, Organisation, Auslesen, Verwendung, Löschung und Export von Daten über die Plattform.
1.4Zweck: Erfassung und Auswertung von Kundenfeedback für den jeweiligen Betrieb; Bereitstellung von Auswertungen und Berichten; Betrieb der technischen Infrastruktur.
A2 Kategorien personenbezogener Daten & betroffene Personen
Das Feedback-System von Survaluate ist so gestaltet, dass keine personenbezogenen Daten der Umfrageteilnehmer gespeichert werden (keine Namen, keine E-Mails, keine IP-Adressen). Soweit im Einzelfall dennoch personenbezogene Daten verarbeitet werden, gilt folgendes:
Verarbeitete Datenkategorien
| Kategorie | Betroffene Personen | Zweck |
|---|---|---|
| Betriebsdaten | Kunden (Betriebsinhaber) | Kontoanlage, Vertragsabwicklung |
| Kontaktdaten (E-Mail) | Kunden (Betriebsinhaber) | Kommunikation, Reports, QR-Code-Versand |
| Zahlungsdaten | Kunden (Betriebsinhaber) | Abrechnung via Stripe (kein Zugriff durch Survaluate auf Karteninformationen) |
| Anonyme Umfragedaten | Feedbackgeber (Kunden des Betriebs) | Auswertung und Berichterstattung für den Betrieb |
| Freitext-Kommentare | Feedbackgeber (Kunden des Betriebs) | Qualitatives Feedback; können ungewollt personenbezogene Daten enthalten |
| Technische Logdaten | Alle Nutzer | Sicherheit, Fehleranalyse, Betrieb |
Der Kunde ist dafür verantwortlich, Teilnehmer darauf hinzuweisen, in Freitextfeldern keine personenbezogenen Daten einzugeben. Survaluate prüft Freitexte nicht aktiv auf personenbezogene Inhalte.
2.1Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten) werden im Standardbetrieb nicht verarbeitet. Arztpraxen und ähnliche Betriebe sind ausdrücklich dafür verantwortlich, sicherzustellen, dass ihre Umfragen keine solchen Daten erheben.
A3 Weisungen
3.1Survaluate verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden. Die erstmaligen Weisungen ergeben sich aus dieser AVV, dem Hauptvertrag und der Konfiguration der Plattform durch den Kunden.
3.2Weisungen können per E-Mail an hallo@survaluate.de erteilt werden.
3.3Ist Survaluate der Auffassung, dass eine Weisung gegen Datenschutzrecht verstößt, informiert Survaluate den Kunden unverzüglich und kann die Ausführung aussetzen.
A4 Pflichten von Survaluate als Auftragsverarbeiter
4.1Survaluate verarbeitet personenbezogene Daten nur im Rahmen dieser AVV und dokumentierter Weisungen des Kunden.
4.2Alle Personen mit Zugriff auf personenbezogene Daten des Kunden sind zur Vertraulichkeit verpflichtet.
4.3Survaluate unterstützt den Kunden angemessen bei der Erfüllung datenschutzrechtlicher Pflichten (Betroffenenrechte, Datenschutzverletzungen, Datenschutz-Folgenabschätzungen).
4.4Survaluate informiert den Kunden, wenn eine Aufsichtsbehörde Auskunft zu personenbezogenen Daten verlangt, die im Auftrag des Kunden verarbeitet werden, sofern rechtlich zulässig.
A5 Pflichten des Kunden als Verantwortlicher
5.1Der Kunde ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich, insbesondere für das Vorliegen einer geeigneten Rechtsgrundlage und die Erfüllung von Informationspflichten gegenüber betroffenen Personen (Feedbackgebern).
5.2Der Kunde hat seine Nutzer zur Einhaltung der datenschutzrechtlichen Vorgaben zu verpflichten.
5.3Der Kunde hat Survaluate unverzüglich zu informieren, wenn er Sicherheitslücken oder unbefugte Zugriffe feststellt.
5.4Der Kunde stellt sicher, dass die eingesetzten Umfragen keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO erheben, es sei denn, dies wurde ausdrücklich vereinbart und eine ausreichende Rechtsgrundlage liegt vor.
A6 Technische und organisatorische Maßnahmen (TOMs)
Survaluate setzt nur Maßnahmen auf, die tatsächlich umgesetzt sind. Folgende TOMs gelten für den aktuellen Betriebsstand:
| Maßnahmenkategorie | Konkrete Umsetzung |
|---|---|
| Transportverschlüsselung | TLS-Verschlüsselung auf allen Verbindungen (HTTPS) |
| Datenbankzugriff | Supabase Row Level Security (RLS) — anonym kann nur Feedback schreiben und öffentliche Betriebsdaten lesen |
| Hosting-Region | Supabase EU-Region Frankfurt (Central EU); IONOS-Hosting Deutschland |
| Datensparsamkeit | Kein Speichern von IP-Adressen, Namen oder E-Mails der Feedbackgeber |
| Anonymität der Umfragen | Feedback wird ohne Personenbezug gespeichert; Freitextfelder optional |
| Zugriffskontrolle | Supabase Service Role Key nur in serverseitigen Edge Functions; kein Client-Zugriff auf Admin-Funktionen |
| Zahlungsabwicklung | Keine Speicherung von Zahlungsdaten bei Survaluate; Stripe PCI-DSS-konform |
| Kein Tracking | Keine Tracking-Cookies, kein Google Analytics, kein Profiling |
| Backups | Supabase automatische Backups; Aufbewahrung max. 90 Tage |
| Vertraulichkeit | Zugang zu produktiven Daten auf den Betreiber beschränkt; keine Weitergabe an Dritte außer Unterauftragsverarbeiter |
A7 Unterauftragsverarbeiter
7.1Der Kunde erteilt mit Akzeptanz dieser AVV eine allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter:
| Anbieter | Leistung | Verarbeitungsort | Drittland |
|---|---|---|---|
| Supabase Inc. | Datenbank, Hosting, Edge Functions, Backups | EU-Region Frankfurt (AWS eu-central-1) | Ja — USA SCC |
| IONOS SE | Web-Hosting (WordPress), SMTP-Mail | Deutschland | Nein |
| Stripe Inc. | Zahlungsabwicklung, Abo-Management | USA / EU | Ja — USA SCC |
7.2Survaluate stellt sicher, dass mit allen Unterauftragsverarbeitern geeignete Verträge (AVV oder SCC) bestehen. Supabase: supabase.com/privacy; Stripe: stripe.com/de/privacy.
7.3Über neue oder ersetzte Unterauftragsverarbeiter informiert Survaluate den Kunden mindestens 30 Tage vor Einsatz per E-Mail. Der Kunde kann innerhalb dieser Frist aus datenschutzrechtlichem Grund widersprechen.
7.4Survaluate bleibt gegenüber dem Kunden für die Erfüllung der Pflichten seiner Unterauftragsverarbeiter verantwortlich.
A8 Drittlandübermittlungen
| Empfänger | Land | Datenkategorien | Rechtsgrundlage |
|---|---|---|---|
| Supabase Inc. | USA | Betriebsdaten, Feedback-Daten, Logdaten (gespeichert in EU-Frankfurt) | EU-Standardvertragsklauseln (SCC), Art. 46 Abs. 2 lit. c DSGVO |
| Stripe Inc. | USA | E-Mail-Adresse, Zahlungsinformationen des Kunden | EU-Standardvertragsklauseln (SCC), Art. 46 Abs. 2 lit. c DSGVO |
Alle produktiven Daten sind im Supabase-Projekt in der EU-Region Frankfurt (AWS eu-central-1) gespeichert. Ein Zugriff durch Supabase-Mitarbeiter von außerhalb der EU unterliegt den vereinbarten SCC.
A9 Meldung von Datenschutzverletzungen
9.1Survaluate informiert den Kunden unverzüglich (soweit möglich innerhalb von 24 Stunden nach Feststellung), sobald eine Verletzung des Schutzes personenbezogener Daten festgestellt wird, die Daten betrifft, die im Auftrag des Kunden verarbeitet werden.
9.2Die Meldung erfolgt per E-Mail an die bei der Registrierung hinterlegte E-Mail-Adresse des Kunden.
9.3Die Meldung enthält alle verfügbaren Informationen gemäß Art. 33 Abs. 3 DSGVO. Soweit Informationen zum Zeitpunkt der Erstmeldung noch nicht vorliegen, werden sie nachgereicht.
9.4Survaluate gibt keine Meldung an Aufsichtsbehörden im Namen des Kunden ab, sofern der Kunde hierzu nicht ausdrücklich anweist.
A10 Unterstützung bei Betroffenenrechten
10.1Wendet sich eine betroffene Person an Survaluate mit einem Ersuchen auf Auskunft, Berichtigung, Löschung oder sonstigen Betroffenenrechten, leitet Survaluate das Ersuchen unverzüglich an den Kunden weiter.
10.2Survaluate unterstützt den Kunden im Rahmen des technisch Möglichen bei der Bearbeitung solcher Ersuchen.
10.3Besonderheit anonymes Feedback: Da Feedback-Daten ohne Personenbezug gespeichert werden, ist eine Zuordnung einzelner Einträge zu bestimmten Personen technisch nicht möglich. Eine Auskunft oder Löschung einzelner Feedback-Einträge auf Wunsch einer betroffenen Person ist daher grundsätzlich nicht möglich.
A11 Löschung und Rückgabe nach Vertragsende
| Datenart | Maßnahme | Frist |
|---|---|---|
| Betriebsdaten & Kontaktdaten | Löschung oder Anonymisierung | 30 Tage nach Vertragsende |
| Feedback-Daten & Auswertungen | Löschung oder Anonymisierung | 30 Tage nach Vertragsende |
| Supabase Backups | Überschreibung im regulären Backup-Zyklus | Max. 90 Tage |
| Stripe-Zahlungsdaten | Verbleiben bei Stripe gemäß gesetzl. Aufbewahrungspflichten | Gesetzliche Fristen (i.d.R. 10 Jahre) |
| Sicherheitslogs | Löschung nach Sicherheitsfrist | Max. 180 Tage |
11.1Während der Vertragslaufzeit kann der Kunde seine Betriebsdaten nicht selbst exportieren (kein Dashboard). Auf Anfrage an hallo@survaluate.de stellt Survaluate einen Datenexport bereit.
11.2Survaluate bestätigt die Löschung auf Anfrage in geeigneter Form.
A12 Nachweise und Kontrollrechte
12.1Survaluate stellt dem Kunden auf begründete Anfrage Informationen zum Nachweis der Einhaltung dieser AVV zur Verfügung, insbesondere diese Dokumentation, Beschreibungen der TOMs und Subunternehmerlisten.
12.2Vor-Ort-Prüfungen sind mit einer Ankündigungsfrist von mindestens 30 Werktagen möglich und dürfen den Betrieb nicht unverhältnismäßig beeinträchtigen.
12.3Der Kunde trägt die Kosten einer Prüfung, sofern kein von Survaluate zu vertretender Anlass besteht.
A13 Schlussbestimmungen
13.1Diese AVV tritt mit Abschluss des Hauptvertrags in Kraft und gilt für dessen gesamte Dauer.
13.2Pflichten zur Vertraulichkeit, Löschung und Nachweisführung gelten über das Vertragsende hinaus fort.
13.3Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag geht die AVV vor, soweit der Widerspruch die Auftragsverarbeitung betrifft.
13.4Es gilt deutsches Recht. Die Haftungsregelungen der AGB gelten entsprechend.
13.5Änderungen dieser AVV werden dem Kunden mindestens 30 Tage vor Inkrafttreten angekündigt.
13.6Kontakt für datenschutzrechtliche Anfragen: hallo@survaluate.de