Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO · Naturkompass Widget & ESG · Stand: Mai 2026
Dieser AVV gilt automatisch als vereinbart, sobald ein Geschäftskunde Naturkompass Widget oder Naturkompass ESG nutzt und dabei personenbezogene Daten (z. B. Kontaktdaten von Mitarbeitern oder Ansprechpartnern) verarbeitet werden. Bei Bedarf kann auf Anfrage eine individuell unterzeichnete Fassung bereitgestellt werden: hallo@gartenexpedition.de.
§ 1 Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (Alexander Göcke, Gartenexpedition, Fellackerstr. 4a, 47495 Rheinberg, Deutschland – nachfolgend „Anbieter") im Auftrag des Verantwortlichen (der Kunde – nachfolgend „Auftraggeber") im Rahmen der Nutzung von Naturkompass Widget und/oder Naturkompass ESG.
Der AVV gilt für die Dauer des Hauptvertrags (B2B-AGB) und endet mit dessen Beendigung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
§ 2 Art, Umfang und Zweck der Verarbeitung
Der Anbieter verarbeitet personenbezogene Daten ausschließlich im dokumentierten Auftrag des Auftraggebers. Art, Umfang und Zweck ergeben sich aus dem jeweiligen Leistungsbereich:
- Naturkompass Widget: Verarbeitung von API-Key-Metadaten, technischen Nutzungslogs (IP-Hashes, Zeitstempel, Slugs) zur Quota-Berechnung, Lizenzverwaltung und Sicherheit.
- Naturkompass ESG: Verarbeitung von Unternehmensdaten, Kontaktdaten zugewiesener Nutzende, Liegenschaftsdaten, Pflanzenlisten, Score-Snapshots und Zertifizierungsmetadaten im Auftrag des Kunden zur Berechnung und Darstellung von Biodiversitätsbewertungen.
- Support und Kommunikation: Verarbeitung von Kontaktdaten im Rahmen von Support-Anfragen, Vertragskorrespondenz und technischer Betreuung.
Kategorien betroffener Personen: Mitarbeitende und Ansprechpartner des Auftraggebers, technische Nutzer (Admin-Accounts).
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, Funktion/Rolle, technische Identifikatoren (API-Key-Hash, IP-Hash), Nutzungsprotokolle.
§ 3 Weisungsrecht des Auftraggebers
Der Anbieter verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers. Der vorliegende AVV sowie die B2B-AGB gelten als solche Weisungen. Weitere Weisungen können per E-Mail an hallo@gartenexpedition.de erteilt werden.
Ist der Anbieter der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Auftraggeber unverzüglich. Der Anbieter ist berechtigt, die Ausführung der entsprechenden Weisung bis zur Klärung auszusetzen.
§ 4 Technische und organisatorische Maßnahmen (TOMs)
Der Anbieter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere:
- Verschlüsselung der Datenübertragung via HTTPS/TLS
- Row Level Security (RLS) in der Datenbank — Nutzer sehen ausschließlich eigene Daten
- Hashing von API-Keys via SHA-256 — Klartext-Keys werden nicht dauerhaft gespeichert
- Zugriffsbeschränkungen: Datenbankzugriff nur über authentifizierte API-Endpunkte
- Rate-Limiting und Abuse-Schutz auf API-Ebene
- Regelmäßige Sicherheitsüberprüfungen und Dependency-Updates
- Zugriff auf Produktionsdaten nur für benötigte Rollen (Need-to-know)
Eine detaillierte Beschreibung der TOMs kann auf Anfrage bereitgestellt werden.
§ 5 Einsatz von Unterauftragsverarbeitern
Der Anbieter setzt folgende Unterauftragsverarbeiter ein, denen hiermit eine allgemeine Genehmigung erteilt wird. Der Auftraggeber wird über wesentliche Änderungen informiert und hat das Recht, Einwände zu erheben:
| Anbieter | Zweck | Sitz / Garantie |
|---|---|---|
| Vercel Inc. | Hosting / CDN / Edge | USA · DPF / SCCs |
| Supabase Inc. | Datenbank / Auth | USA · SCCs · EU-Region |
| Cloudflare Inc. | CDN / R2 Speicher / DDoS-Schutz | USA · DPF / SCCs |
| Upstash Inc. | Redis Cache / Rate-Limiting | USA · SCCs · EU-Region |
| Stripe Inc. | Zahlungsabwicklung | USA · DPF / SCCs |
| Sendinblue SAS (Brevo) | E-Mail-Versand | Frankreich · EU |
| Google LLC | KI (Gemini Vision) | USA · DPF / SCCs |
DPF = EU–U.S. Data Privacy Framework · SCCs = EU-Standardvertragsklauseln
§ 6 Unterstützung des Auftraggebers
Der Anbieter unterstützt den Auftraggeber im Rahmen des technisch Möglichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung) sowie bei Datenschutz-Folgenabschätzungen, vorherigen Konsultationen und der Meldung von Datenpannen gemäß Art. 33/34 DSGVO.
§ 7 Datenpannen und Meldepflichten
Der Anbieter informiert den Auftraggeber unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten, die die verarbeiteten Daten betreffen könnten. Die Meldung enthält soweit bekannt: Art der Panne, betroffene Datenkategorien und Personengruppen, voraussichtliche Folgen und ergriffene Maßnahmen.
§ 8 Löschung und Rückgabe
Nach Beendigung des Hauptvertrags löscht oder gibt der Anbieter alle personenbezogenen Daten zurück, die im Auftrag des Auftraggebers verarbeitet wurden — nach Wahl des Auftraggebers — sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Der Auftraggeber kann jederzeit per E-Mail die Löschung oder Herausgabe seiner Daten beantragen.
§ 9 Nachweispflichten und Audits
Der Anbieter stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Der Auftraggeber ist berechtigt, Audits und Inspektionen durchzuführen oder durch Beauftragte durchführen zu lassen — nach vorheriger Ankündigung mit angemessener Frist und unter Wahrung der Vertraulichkeit.
§ 10 Schlussbestimmungen
Dieser AVV ist Bestandteil der B2B-AGB. Es gilt deutsches Recht. Änderungen bedürfen der Textform. Soweit einzelne Bestimmungen unwirksam sind, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Für Fragen, individuelle Unterzeichnung oder Ergänzungen: hallo@gartenexpedition.de