Auftragsverarbeitungsvertrag (AVV)

nach Art. 28 DSGVO zwischen dem Kunden (nachfolgend „Verantwortlicher") und MessingerDesign, Philipp & Werner Messinger GbR, Dahmestraße 10, 12526 Berlin (nachfolgend „Auftragsverarbeiter"), für die Nutzung des Dienstes SpamProtec. Dieser AVV ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags.

§ 1 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zum Zweck der automatisierten Spam-, Phishing- und Schadmail-Erkennung in den vom Verantwortlichen angebundenen E-Mail-Postfächern. Die Dauer entspricht der Laufzeit des Hauptvertrags; dieser AVV endet automatisch mit dessen Beendigung.

§ 2 Art und Zweck der Verarbeitung, Datenkategorien, betroffene Personen

Art und Zweck: Abruf eingehender E-Mails per IMAP, automatisierte Klassifikation und Verschieben als Spam erkannter Nachrichten in den Spam-Ordner; Bereitstellung von Quarantäne, Statistik und Berichten.
Datenkategorien: E-Mail-Metadaten (Absender, Empfänger, Betreff, Kopfzeilen, Zeitstempel), E-Mail-Inhalte einschließlich der darin enthaltenen personenbezogenen Daten sowie technische Verbindungsdaten.
Kategorien betroffener Personen: Kommunikationspartner des Verantwortlichen sowie dessen Beschäftigte, deren Postfächer angebunden sind.

§ 3 Weisungsbindung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.
(2) Die Konfiguration des Dienstes durch den Verantwortlichen (z. B. angebundene Postfächer, Aufbewahrungsdauer, Lokal-Option) gilt als dokumentierte Weisung.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.
(4) Ist der Auftragsverarbeiter gesetzlich zu einer Übermittlung in ein Drittland verpflichtet, teilt er dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht dies nicht aus wichtigen Gründen des öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

§ 4 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Verpflichtung der Beschäftigten: Alle zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet bzw. unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht (Art. 28 Abs. 3 lit. b DSGVO).
Vertraulichkeit: Rollen- und Rechtekonzept, Mandantentrennung, Zugriffsbeschränkung auf das Need-to-know-Prinzip, verschlüsselte Speicherung der IMAP-Zugangsdaten (AES-256-GCM).
Integrität: TLS-Transportverschlüsselung, Protokollierung sicherheitsrelevanter Vorgänge, Schutz vor unbefugter Veränderung.
Datenminimierung bei externer KI: Vor-Anonymisierung personenbezogener Daten vor jeder Übermittlung an externe Modelle; unabhängige Fail-Closed-Kontrolle, die die Übermittlung bei Restdaten verhindert.
Verfügbarkeit und Belastbarkeit: Server-Standort Deutschland, tägliche Backups, automatisches Monitoring und Wiederanlaufmechanismen.
Verfahren zur Überprüfung und Bewertung: regelmäßige Überprüfung der Maßnahmen und der Spam-Erkennungslogik.

§ 5 Unterauftragsverarbeiter

(1) Der Verantwortliche genehmigt allgemein den Einsatz der nachfolgenden Unterauftragsverarbeiter:

Dienstleister	Zweck	Ort
netcup GmbH	Hosting / Infrastruktur	Deutschland
Anthropic PBC	KI-Klassifikation (vor-anonymisiert)	USA (DPF / EU-SCC)
OpenAI	KI-Klassifikation (vor-anonymisiert)	USA (DPF / EU-SCC)

(2) Der Auftragsverarbeiter informiert den Verantwortlichen rechtzeitig in Textform über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen widersprechen.
(3) Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO), und bleibt dem Verantwortlichen gegenüber für deren Einhaltung verantwortlich.

§ 6 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung von Betroffenenrechten (Art. 12–22 DSGVO), bei der Gewährleistung der Sicherheit der Verarbeitung (Art. 32) sowie bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen (Art. 35–36).

§ 7 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und stellt die zur Erfüllung der Meldepflichten nach Art. 33/34 DSGVO erforderlichen Informationen bereit.

§ 8 Löschung und Rückgabe

Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. IMAP-Zugangsdaten werden mit Beendigung der Anbindung gelöscht.

§ 9 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung des Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen beauftragten Prüfer in angemessenem, betrieblich verträglichem Rahmen nach vorheriger Ankündigung.

§ 10 Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf die Datenverarbeitung vor. Es gilt deutsches Recht. Die Annahme erfolgt mit Abschluss des Hauptvertrags über SpamProtec.

Stand: Juni 2026 · SpamProtec · MessingerDesign GbR