Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO — Stand: April 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung von MailDesk. Er gilt für alle Verarbeitungen personenbezogener Daten, die der Auftragsverarbeiter (Eduard Zuban, nachfolgend "Auftragnehmer") im Auftrag des Kunden (nachfolgend "Auftraggeber") im Rahmen der Nutzung von MailDesk Cloud durchführt.

Dieser AVV wird mit Abschluss des Hauptvertrags (Registrierung und Tarifauswahl) wirksam und gilt für die Dauer des Vertragsverhältnisses. Für die Self-Hosted-Variante ist dieser AVV nicht erforderlich, da der Kunde die Daten auf eigener Infrastruktur verarbeitet.

1. Gegenstand und Dauer der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Bereitstellung des Email-to-Ticket-Systems MailDesk als Cloud-Dienst. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers für die Dauer des Vertragsverhältnisses.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Empfang, Speicherung und Anzeige eingehender E-Mails als Tickets
  • Versand von E-Mail-Antworten im Namen des Auftraggebers
  • Speicherung von Dateianhängen und E-Mail-Metadaten
  • Bereitstellung einer durchsuchbaren Knowledge Base
  • Bereitstellung eines internen Team-Chats
  • Optionale KI-gestützte Funktionen (nur bei Aktivierung durch den Auftraggeber)

3. Art der personenbezogenen Daten

  • E-Mail-Adressen (Absender und Empfänger)
  • Namen (soweit in E-Mails enthalten)
  • E-Mail-Inhalte (Betreff, Text, HTML)
  • Dateianhänge
  • E-Mail-Header und Metadaten (Message-IDs, Zeitstempel)
  • IP-Adressen der Nutzer des Auftraggebers (bei Zugriff auf das Dashboard)
  • Chat-Nachrichten der Mitarbeiter des Auftraggebers

4. Kategorien betroffener Personen

  • Kunden und Geschäftspartner des Auftraggebers
  • Mitarbeiter und Beauftragte des Auftraggebers
  • Sonstige Personen, die per E-Mail mit dem Auftraggeber kommunizieren

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht eines Mitgliedstaats erforderlich.
  • Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
  • Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe Anlage: TOMs).
  • Unterauftragsverarbeiter nur unter den in Abschnitt 7 genannten Bedingungen einzusetzen.
  • Den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen.
  • Den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).
  • Den Auftraggeber unverzüglich zu informieren, falls eine Weisung nach Auffassung des Auftragnehmers gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

6. Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO). Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Anzahl betroffener Personen
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene und vorgeschlagene Maßnahmen

7. Unterauftragsverarbeiter

Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Der Auftragnehmer informiert den Auftraggeber vorab über jede beabsichtigte Änderung der Unterauftragsverarbeiter. Der Auftraggeber kann innerhalb von 30 Tagen nach Zugang der Information Einspruch erheben. Bei berechtigtem Einspruch bemüht sich der Auftragnehmer um eine alternative Lösung; ist dies nicht möglich, steht dem Auftraggeber ein Sonderkündigungsrecht zu.

Aktuelle Unterauftragsverarbeiter:

UnterauftragsverarbeiterZweckStandortTransfer
Netcup GmbHServer-Hosting und InfrastrukturDeutschland (Köln)AVV
Stripe Payments Europe, Ltd.ZahlungsabwicklungIrland / USADPF + SCCs
OpenAI, L.L.C.KB-Embeddings (semantische Suche)USASCCs

Hinweis: Wenn der Auftraggeber optionale KI-Funktionen mit eigenen API-Schlüsseln aktiviert, besteht ein direktes Vertragsverhältnis zwischen dem Auftraggeber und dem jeweiligen KI-Anbieter (OpenAI oder Anthropic). Diese Anbieter sind in diesem Fall keine Unterauftragsverarbeiter des Auftragnehmers.

8. Löschung und Rückgabe von Daten

Nach Beendigung des Vertragsverhältnisses löscht der Auftragnehmer alle im Auftrag des Auftraggebers verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 28 Abs. 3 lit. g DSGVO).

Auf Wunsch des Auftraggebers stellt der Auftragnehmer vor der Löschung eine Kopie der Daten in einem gängigen, maschinenlesbaren Format bereit.

9. Kontroll- und Auditrechte

Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen (einschließlich Inspektionen) durch den Auftraggeber oder einen von ihm beauftragten Prüfer (Art. 28 Abs. 3 lit. h DSGVO).

Audits sind mit angemessener Vorankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten durchzuführen und dürfen den Geschäftsbetrieb nicht unangemessen stören. Der Auftraggeber trägt die Kosten des Audits, es sei denn, das Audit deckt wesentliche Verstöße auf.

Anlage: Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:

1. Zutrittskontrolle

Alle Daten werden auf Servern der Netcup GmbH in einem zertifizierten Rechenzentrum in Köln, Deutschland, gehostet. Der physische Zugang wird durch den Rechenzentrumsbetreiber kontrolliert (Zutrittskontrollsystem, Videoüberwachung, 24/7 Sicherheitspersonal).

2. Zugangskontrolle

  • Passwort-basierte Authentifizierung mit bcrypt-Hashing
  • Session-Management mit kryptographisch signierten Cookies (HMAC)
  • IP-basiertes Rate Limiting gegen Brute-Force-Angriffe
  • Serverzugang ausschließlich über SSH mit Key-Authentifizierung
  • Administrative Dienste nur über VPN (WireGuard) erreichbar

3. Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle (Owner, Admin, Agent) mit unterschiedlichen Berechtigungen
  • Strikte Mandantentrennung: Jede Datenbankabfrage wird durch die Organisation-ID gefiltert (Multi-Tenancy)
  • IMAP/SMTP-Zugangsdaten werden mit AES-256-GCM verschlüsselt gespeichert
  • Kunden-API-Schlüssel (KI-Funktionen) werden mit AES-256-GCM verschlüsselt gespeichert

4. Weitergabekontrolle

  • TLS-Verschlüsselung für alle Verbindungen (Let's Encrypt)
  • Content Security Policy (CSP) zur Verhinderung unerlaubter Datenabflüsse
  • E-Mail-Bilder werden serverseitig über einen signierten Proxy geladen (kein Tracking durch externe Dienste)
  • DKIM, SPF und DMARC für den E-Mail-Versand

5. Eingabekontrolle

  • Audit-Log aller sicherheitsrelevanten Aktionen (Konfiguration, Datenlöschung, Rechteänderungen, KI-Nutzung)
  • Nachvollziehbarkeit von Änderungen über Zeitstempel

6. Verfügbarkeitskontrolle

  • Regelmäßige Datensicherungen (Backups)
  • Überwachung der Systemverfügbarkeit
  • Redundante Dienste (Redis, PostgreSQL) auf der Serverinfrastruktur

7. Trennungskontrolle

  • Logische Mandantentrennung über eindeutige Organisation-IDs auf allen Datenbankebenen
  • Separate Verarbeitung von Kunden- und Betriebsdaten

Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag wenden Sie sich an: info@maildesk.cloud