← Zurück

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.

Auftragsverarbeiter:
Julien Patrick Holte / MyClips AI
Bergische Straße 7, 53773 Hennef
Info@myclipsai.com

Verantwortlicher:
Der jeweilige Nutzer (Autoverkäufer bzw. dessen Arbeitgeber/Autohaus), der den Dienst „Provisionsmanager“ nutzt.

(2) Der Auftragsverarbeiter stellt die webbasierte Anwendung „Provisionsmanager“ (erreichbar unter www.provisionsmanager.com) zur Verfügung. Der Dienst ermöglicht die Verwaltung von Provisionsdaten, Kundenkontakten und Verkaufsunterlagen.

(3) Die Laufzeit dieses AVV entspricht der Dauer der Nutzung des Dienstes. Mit Beendigung der Nutzung oder Löschung des Benutzerkontos endet auch dieser AVV.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Bereitstellung des Dienstes „Provisionsmanager“, insbesondere:

  • Speicherung und Anzeige von Provisionsdaten (Kundennamen, Fahrzeugdaten, Provisionsbeträge)
  • Verwaltung von Leads und Kundenbeziehungen (CRM), inkl. Statusverläufen, Notizen, Nachkontakten und Kundenakten
  • Aufnahme, Transkription und KI-gestützte Strukturierung von Sprachnotizen zu Kunden
  • KI-gestützte Kategorisierung getippter Notizen (optional)
  • Automatisches Pflegen eines Kunden-Profils (Persönliches, Vorlieben, Fahrzeug-Historie) anhand erkannter Informationen
  • Speicherung und Verwaltung von kundenbezogenen Dokumenten/Anhängen in einem privaten Storage-Bucket
  • Erstellung und Verwaltung von Kundenkarten
  • Weiterleitung von Kundenunterlagen per E-Mail (ohne serverseitige Speicherung der Anhänge bei der reinen Weiterleitung)
  • Verwaltung von Checklisten und Verkaufsprozessen
  • KI-gestützte Erstellung von E-Mails, Kundenkarten-Texten, Einwandbehandlung und Monatsanalysen

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden im Auftrag verarbeitet:

  • Stammdaten der Kunden des Verantwortlichen: Vor- und Nachname, ggf. Firmenname, Kundenart (Privat/Gewerbe/Großkunde), E-Mail, Telefonnummer
  • Lead-Management-Daten: Lead-Status (Erstkontakt, Bedarfsanalyse, Probefahrt, Angebot, Verhandlung, Abschluss, Verloren, Bestandskunde), Lead-Quelle, Fahrzeuginteresse, Nachkontakt-Termine, Lost-Reason
  • Aktivitätsprotokolle: Dokumentierte Interaktionen mit dem Kunden (Anrufe, WhatsApp, E-Mails, Termine, Probefahrten, Angebote, Notizen, Statuswechsel, Sprachnotizen) inkl. Zeitstempel und Beschreibung
  • Sprachnotiz-Transkripte & strukturierte Kategorien: Der vollständige Text einer transkribierten Sprachnotiz sowie die von der KI extrahierten Kategorien (Fahrzeug-Interesse, Budget, Timeline, Inzahlungnahme, Finanzierung, persönliche Details, Einwände, nächste Schritte, Anmerkungen). Die ursprüngliche Audio-Datei wird nicht gespeichert, sondern nach der Transkription sofort verworfen.
  • Kunden-Profildaten: Evergreen-Informationen über den Kunden: Persönliches (Familie, Hobbys), Vorlieben/Gewohnheiten, Fahrzeug-Historie. Diese Daten werden entweder manuell vom Verantwortlichen eingetragen oder automatisch aus Sprachnotizen/KI-strukturierten Notizen ergänzt.
  • Verkaufsdaten: Provisionshöhe, Zahlungsart, Zusatzprodukte, Auftragsnummern, VIN, Auslieferungsdaten
  • Angehängte Dokumente: Vom Verantwortlichen zu einem Kunden hochgeladene Dateien (PDFs, Bilder, Dokumente), gespeichert in einem zugriffsgeschützten Supabase-Storage-Bucket
  • Dokumentenanfragen: Vom Kunden selbst über einen zeitlich befristeten Link hochgeladene Unterlagen — diese werden ausschließlich in-memory verarbeitet und sofort per E-Mail weitergeleitet, keine dauerhafte Speicherung
  • Kontaktdaten des Verantwortlichen: Geschäftliche E-Mail, Telefonnummer, Autohaus-Name, Avatar

§ 4 Kategorien betroffener Personen

  • Kunden des Verantwortlichen (Autokäufer)
  • Der Verantwortliche selbst (Autoverkäufer / Nutzer des Dienstes)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (die Weisung ergibt sich aus der bestimmungsgemäßen Nutzung des Dienstes)
  • Sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind
  • Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
  • Den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren
  • Nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten zu löschen

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende Maßnahmen zum Schutz personenbezogener Daten implementiert:

Zutrittskontrolle

  • Serverseitige Infrastruktur bei Supabase Inc. (AWS eu-west-1, Irland)
  • Physischer Zugang nur für autorisiertes AWS-Personal

Zugangskontrolle

  • Authentifizierung über Supabase Auth mit kryptographisch gehashten Passwörtern
  • Session-Tokens werden bei jedem Request erneuert
  • Mindestpasswortlänge von 8 Zeichen

Zugriffskontrolle

  • Row Level Security (RLS) auf allen Datenbanktabellen
  • Jeder Nutzer hat ausschließlich Zugriff auf seine eigenen Daten
  • Service-Role-Keys ausschließlich serverseitig im Einsatz

Weitergabekontrolle

  • TLS/SSL-Verschlüsselung aller Datenübertragungen
  • Kundenunterlagen werden ausschließlich in-memory verarbeitet und per verschlüsselter E-Mail-Verbindung weitergeleitet
  • Keine Speicherung hochgeladener Dokumente auf dem Server

Eingabekontrolle

  • Alle Datenänderungen sind dem authentifizierten Nutzer zugeordnet
  • Zeitstempel bei Erstellung und Änderung von Datensätzen

Verfügbarkeitskontrolle

  • Hosting bei AWS mit automatischen Backups
  • Redundante Datenspeicherung durch Supabase

Trennungskontrolle

  • Mandantentrennung durch Row Level Security (jeder Nutzer ist ein separater Mandant)
  • Logische Trennung der Daten auf Datenbankebene

§ 7 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

Supabase Inc.

Zweck: Datenbankhosting, Authentifizierung

Standort: AWS eu-west-1 (Irland, EU)

Datenschutzerklärung

Stripe Inc.

Zweck: Zahlungsabwicklung

Standort: USA (EU-Standardvertragsklauseln)

Datenschutzerklärung

Resend Inc.

Zweck: E-Mail-Versand (Benachrichtigungen, Dokumentweiterleitung)

Standort: USA (EU-Standardvertragsklauseln)

Datenschutzerklärung

Vercel Inc.

Zweck: Webhosting und Bereitstellung der Anwendung

Standort: Global CDN (Verarbeitung in EU bevorzugt)

Datenschutzerklärung

Anthropic PBC

Zweck: KI-gestützte Textgenerierung und Strukturierung (Mail-Erstellung, Kundenkarten-Texte, Verkaufsanalyse, Einwandbehandlung, Strukturierung von Sprach- und Text-Notizen, automatische Profil-Extraktion)

Standort: USA (EU-US Data Privacy Framework, EU-Standardvertragsklauseln)

API-Eingaben werden von Anthropic nicht für das Training von KI-Modellen verwendet. Daten können für bis zu 30 Tage zu Trust-&-Safety-Zwecken gespeichert werden.

Datenschutzerklärung

OpenAI, LLC

Zweck: Audio-Transkription von Sprachnotizen (Whisper-API)

Standort: USA (EU-US Data Privacy Framework, EU-Standardvertragsklauseln)

Die Audio-Datei wird ausschließlich zur Transkription übermittelt und anschließend auf unseren Servern sofort verworfen. OpenAI verwendet API-Eingaben nicht für das Training der Modelle und speichert Anfragen für maximal 30 Tage zu Trust-&-Safety-Zwecken.

Datenschutzerklärung

§ 8 Rechte des Verantwortlichen

Der Verantwortliche hat das Recht:

  • Weisungen bezüglich der Datenverarbeitung zu erteilen
  • Auskunft über die verarbeiteten Daten zu verlangen
  • Die Löschung aller Daten zu verlangen (über die Einstellungen im Dienst oder per E-Mail)
  • Den Export aller Daten im maschinenlesbaren Format (CSV) durchzuführen
  • Die Einhaltung der TOM zu überprüfen (auf Anfrage)

§ 9 Meldepflichten

(1) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 33 und 34 DSGVO (Meldung von Datenschutzverletzungen).

§ 10 Löschung und Rückgabe

(1) Nach Beendigung der Nutzung des Dienstes werden alle personenbezogenen Daten des Verantwortlichen gelöscht. Dies geschieht automatisch bei Löschung des Benutzerkontos.

(2) Der Verantwortliche kann vor der Löschung einen vollständigen Datenexport (CSV) über die Einstellungen des Dienstes durchführen.

(3) Die Löschung erstreckt sich auf alle Tabellen und Datensätze, die dem Nutzer zugeordnet sind, einschließlich Provisionen, Profildaten, Zusatzprodukte und Community-Beiträge.

§ 11 Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Durch die Nutzung des Dienstes „Provisionsmanager“ erklärt sich der Verantwortliche mit den Bedingungen dieses AVV einverstanden.

Kontakt

Bei Fragen zu diesem AVV oder zur Datenverarbeitung:
E-Mail: Info@myclipsai.com
Telefon: 015773516413

Stand: April 2026