yappyOne
RECHTLICHES

Auftragsverarbeitungsvertrag (AVV)

yappyBuy GmbH — yappyOne Plattform · gemäß Art. 28 DSGVO

Stand: März 2026

Seiten

📋Impressum🔒Datenschutz📄AGB🍪Cookie-Richtlinie🚫Unzulässige Geschäfte🤝Auftragsverarbeitung🇪🇺Digital Services Act

Inhalt

AVV als PDF herunterladen

Präambel

Die yappyBuy GmbH ("Auftragnehmer") betreibt die KI-gestützte SaaS-Plattform yappyOne. Im Rahmen der Nutzung dieser Plattform verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Kunden ("Auftraggeber"). Dieser Auftragsverarbeitungsvertrag (AVV) regelt die datenschutzrechtlichen Anforderungen dieser Verarbeitung gemäß Art. 28 DSGVO und ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags.

1. Gegenstand und Dauer der Verarbeitung

1.1 Dieser AVV regelt die Verarbeitung personenbezogener Daten durch die yappyBuy GmbH im Auftrag des Kunden im Rahmen der Nutzung der yappyOne Plattform und ihrer Module (yappyOne Helpdesk, Chat, Commerce, ERP, CRM, Workflows, Knowledge Base). 1.2 Die Verarbeitung erfolgt ausschließlich im Rahmen der vertraglich vereinbarten Zwecke und beginnt mit dem Abschluss des Hauptvertrags. Die Dauer entspricht der Vertragslaufzeit des jeweiligen Moduls bzw. des Hauptvertrags. 1.3 Nach Beendigung des Vertragsverhältnisses gelten die Regelungen zur Löschung und Rückgabe gemäß Ziffer 7.

2. Art und Zweck der Verarbeitung

2.1 Verarbeitet werden personenbezogene Daten, die im Rahmen der Nutzung der yappyOne Plattform anfallen, insbesondere:
  • Kundendaten und Nutzungsdaten des Auftraggebers
  • Kommunikationsdaten (z. B. Anfragen über yappyOne Chat oder Helpdesk)
  • ERP-, CRM- und Commerce-Daten, die der Auftraggeber über Konnektoren bereitstellt
  • Supportdaten und Protokolldaten
2.2 Zweck der Verarbeitung ist die Bereitstellung, der Betrieb und die Verbesserung der vertraglich vereinbarten Module der yappyOne Plattform. 2.3 Eine Verarbeitung zu anderen als den vereinbarten Zwecken erfolgt nicht. Eine Nutzung der Daten des Auftraggebers für eigene Zwecke des Auftragnehmers ist ausgeschlossen.

3. Art der Daten und betroffene Personen

3.1 Gegenstand der Verarbeitung sind insbesondere folgende Datenkategorien:
  • Kontaktdaten (z. B. Namen, E-Mail-Adressen, Telefonnummern)
  • Technische Nutzungsdaten (z. B. IP-Adressen, Logdaten, Zugriffszeitpunkte)
  • Kommunikationsinhalte (z. B. Anfragen über yappyOne Chat oder Helpdesk)
  • Geschäftsdaten (z. B. Bestelldaten, ERP-Daten, CRM-Daten), soweit der Auftraggeber diese bereitstellt
  • Authentifizierungsdaten der Nutzer der yappyOne Plattform
3.2 Betroffene Personen sind insbesondere:
  • Mitarbeitende und Nutzer des Auftraggebers
  • Kunden und Endnutzer des Auftraggebers
  • Kontaktpersonen bei Geschäftspartnern des Auftraggebers

4. Rechte und Pflichten des Auftraggebers

4.1 Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und trägt die alleinige Verantwortung für die Rechtmäßigkeit der Datenverarbeitung in seinem Verantwortungsbereich. 4.2 Der Auftraggeber ist verpflichtet:
  • seine Informationspflichten gegenüber betroffenen Personen gemäß Art. 13, 14 DSGVO zu erfüllen,
  • erforderliche Einwilligungen eigenständig einzuholen,
  • die Nutzung der yappyOne Plattform in seiner Datenschutzerklärung zu dokumentieren,
  • den Auftragnehmer unverzüglich zu informieren, sofern er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.
4.3 Weisungen des Auftraggebers sind grundsätzlich schriftlich oder in einem elektronischen Format zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

5. Pflichten des Auftragnehmers (yappyBuy GmbH)

5.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, eine rechtliche Verpflichtung gebietet anderes. In letzterem Fall informiert der Auftragnehmer den Auftraggeber vor der Verarbeitung, sofern dies rechtlich zulässig ist. 5.2 Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit oder stellt sicher, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 5.3 Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Ziffer 11). 5.4 Der Auftragnehmer unterstützt den Auftraggeber soweit möglich bei:
  • der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO),
  • der Meldung von Datenschutzverletzungen an Aufsichtsbehörden (Art. 33 DSGVO),
  • der Benachrichtigung betroffener Personen bei Datenschutzverletzungen (Art. 34 DSGVO),
  • der Durchführung von Datenschutz-Folgeabschätzungen (Art. 35 DSGVO),
  • der Konsultation von Aufsichtsbehörden (Art. 36 DSGVO).
5.5 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine erteilte Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstößt.

6. Unterauftragsverarbeiter

6.1 Der Auftragnehmer setzt zur Leistungserbringung folgende Unterauftragsverarbeiter ein: Hetzner Online GmbH — Hosting und Infrastruktur — Standort: Deutschland IBM Corporation (watsonx.ai) — KI-Verarbeitung und LLM-Dienste — Standort: EU-Rechenzentren Eine jeweils aktuelle Liste der eingesetzten Unterauftragsverarbeiter ist abrufbar unter: https://www.yappyone.ai/auftragsverarbeitung 6.2 Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen hinsichtlich der Hinzuziehung neuer oder des Austauschs bisheriger Unterauftragsverarbeiter mindestens 14 Tage im Voraus. Der Auftraggeber kann gegen eine solche Änderung innerhalb von 14 Tagen nach Mitteilung schriftlich Einspruch einlegen. Erfolgt kein Einspruch, gilt die Änderung als genehmigt. 6.3 Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter dieselben datenschutzrechtlichen Verpflichtungen übernehmen, die diesem AVV zugrunde liegen.

7. Löschung und Rückgabe personenbezogener Daten

7.1 Nach Beendigung des Hauptvertrags oder auf Weisung des Auftraggebers löscht der Auftragnehmer alle im Rahmen dieses AVV verarbeiteten personenbezogenen Daten oder gibt sie an den Auftraggeber zurück — nach Wahl des Auftraggebers. Dies umfasst alle Verarbeitungsergebnisse, Dokumente, Datenträger und Kopien. 7.2 Eine Pflicht zur Löschung besteht nicht, soweit eine gesetzliche Verpflichtung zur weiteren Speicherung besteht. In diesem Fall schränkt der Auftragnehmer die Verarbeitung auf das gesetzlich erforderliche Minimum ein. 7.3 Die Löschung hat so zu erfolgen, dass eine Wiederherstellung der Daten technisch ausgeschlossen ist (z. B. durch sichere Überschreibung oder physische Vernichtung von Datenträgern). 7.4 Der Auftragnehmer protokolliert alle Lösch- und Rückgabevorgänge mit Angabe von Datum und ausführender Person. Die Protokolle und ein schriftlicher Nachweis werden dem Auftraggeber innerhalb von 72 Stunden nach Durchführung zur Verfügung gestellt.

8. Kontrolle und Nachweispflichten

8.1 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. 8.2 Der Auftragnehmer ermöglicht dem Auftraggeber die Durchführung angemessener Kontrollen, einschließlich:
  • Einsicht in technische Dokumentation und Sicherheitskonzepte,
  • Audits vor Ort nach vorheriger schriftlicher Ankündigung mit angemessener Frist (mindestens 14 Tage),
  • Prüfung durch vom Auftraggeber beauftragte Dritte unter Wahrung der Vertraulichkeit.
8.3 Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und dokumentiert alle relevanten Schutzmaßnahmen.

9. Weisungen und Unterstützungspflichten

9.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers. 9.2 Änderungen, Aufhebungen oder Ergänzungen von Weisungen sind nur in schriftlicher oder elektronischer Form wirksam. 9.3 Sowohl Auftraggeber als auch Auftragnehmer dokumentieren alle Weisungen in Textform. Die Dokumentation ist für die Dauer des Vertrags und weitere drei Jahre aufzubewahren. 9.4 Der Auftragnehmer weist den Auftraggeber unverzüglich darauf hin, wenn eine erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Ausführung bis zur Klärung auszusetzen. 9.5 Der Auftraggeber benennt einen oder mehrere Weisungsberechtigte. Der Auftragnehmer benennt entsprechende Weisungsempfänger. Wechsel sind unverzüglich schriftlich mitzuteilen. 9.6 Der Auftragnehmer unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Betroffenenrechten gemäß Art. 12–22 DSGVO. 9.7 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO, insbesondere bei Sicherheitsmaßnahmen, Meldepflichten und Datenschutz-Folgeabschätzungen. 9.8 Wendet sich eine betroffene Person oder eine Aufsichtsbehörde direkt an den Auftragnehmer, informiert dieser den Auftraggeber unverzüglich und stimmt weitere Schritte ab.

10. Datenschutzbeauftragter

Der Datenschutzbeauftragte des Auftragnehmers ist: PROLIANCE GmbH www.datenschutzexperte.de Leopoldstraße 21 80802 München datenschutzbeauftragter@datenschutzexperte.de Weiterführende Informationen zur Datenverarbeitung finden Sie in unserer Datenschutzerklärung: https://www.yappyone.ai/datenschutz

11. Technische und organisatorische Maßnahmen (TOM)

11.1 Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies umfasst insbesondere: Vertraulichkeit:
  • SSL/TLS-Verschlüsselung aller Datenübertragungen
  • Verschlüsselung gespeicherter Daten (at rest und in transit)
  • Pseudonymisierung personenbezogener Daten, soweit möglich
  • Rollenbasiertes Zugriffsmanagement (RBAC)
  • Mandantentrennung durch Row-Level-Security (RLS)
Verfügbarkeit und Belastbarkeit:
  • Hosting ausschließlich in deutschen Rechenzentren (Hetzner)
  • Angestrebte Jahresverfügbarkeit von 98,5 %
  • Regelmäßige Datensicherungen
  • Notfall- und Wiederherstellungskonzept
Integrität:
  • Protokollierung aller Zugriffe und Verarbeitungsvorgänge
  • Maßnahmen gegen unbefugte Veränderung von Daten
Verfahren zur regelmäßigen Überprüfung:
  • Regelmäßige interne Sicherheitsüberprüfungen
  • Schwachstellenmanagement und Patch-Management
11.2 Die beschriebenen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen Weiterentwicklung angepasst werden, sofern das Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind schriftlich zu vereinbaren.

12. Datenschutzverletzungen und Informationspflichten

12.1 Der Auftragnehmer informiert den Auftraggeber unverzüglich — spätestens innerhalb von 24 Stunden nach Bekanntwerden — über Verletzungen des Schutzes personenbezogener Daten. 12.2 Die Meldung enthält mindestens:
  • Art der Verletzung und betroffene Datenkategorien,
  • ungefähre Anzahl betroffener Personen und Datensätze,
  • wahrscheinliche Folgen der Verletzung,
  • ergriffene oder geplante Abhilfemaßnahmen.
12.3 Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (Art. 33 DSGVO) sowie bei der Benachrichtigung betroffener Personen (Art. 34 DSGVO). 12.4 Sollten Daten des Auftraggebers durch Pfändung, Beschlagnahme oder Insolvenzverfahren gefährdet werden, informiert der Auftragnehmer den Auftraggeber unverzüglich. 12.5 Diese Pflichten gelten entsprechend für Verletzungen bei Unterauftragsverarbeitern.

13. Schlussbestimmungen

13.1 Die Einrede des Zurückbehaltungsrechts gemäß § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen. 13.2 Dieser AVV ist Bestandteil des Hauptvertrags. Im Konfliktfall hat der AVV in datenschutzrechtlichen Fragen Vorrang. 13.3 Änderungen dieses AVV bedürfen der Schriftform oder eines elektronischen Formats. Dies gilt auch für die Änderung dieses Formerfordernisses. 13.4 Sollte eine Bestimmung dieses AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. 13.5 Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz der yappyBuy GmbH.

Kontakt

yappyBuy GmbH Kaiselsbergstraße 41 63808 Haibach, Deutschland web@yappybuy.com +49 (0) 6021 3271834 https://www.yappyone.ai Johannes P. Hattingh, Geschäftsführer Erreichbarkeit: Montag bis Mittwoch 09:00–17:00 Uhr (MEZ), Donnerstag und Freitag 09:00–12:00 Uhr (MEZ) Stand: März 2026