Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO – Stand: März 2026
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend “AVV”) wird geschlossen zwischen dem Kunden der SaaS-Plattform LYNKOS (nachfolgend “Verantwortlicher”) und:
LYNKOS GmbH
[Straße und Hausnummer]
[PLZ] [Ort]
Deutschland
(nachfolgend “Auftragsverarbeiter”)
Der AVV ergänzt die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform LYNKOS. Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag (AGB).
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
(3) Die Art der verarbeiteten personenbezogenen Daten umfasst:
- Kontaktdaten (Name, E-Mail, Telefon, Adresse) von Leads/Kunden
- Projektdaten (PV-Anlagenplanung, Heizlastberechnungen)
- Angebots- und Rechnungsdaten
- Geodaten (Adresskoordinaten, Modulplatzierungen)
- Mitarbeiterdaten der Organisation des Verantwortlichen
(4) Kategorien betroffener Personen: Kunden/Leads des Verantwortlichen, Mitarbeiter des Verantwortlichen, Endkunden.
§ 2 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur:
- auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO)
- für die im Hauptvertrag vereinbarten Zwecke
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 5).
§ 3 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen (Art. 28 Abs. 2 DSGVO).
(2) Aktuelle Unterauftragsverarbeiter:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Dateispeicherung | EU (Frankfurt, aws-eu-central-1) |
| Vercel Inc. | Website-Hosting, CDN | USA (EU-US DPF zertifiziert) |
| Functional Software Inc. (Sentry) | Fehlerüberwachung, Session Replay (mit Einwilligung) | USA (EU-US DPF zertifiziert) |
| Google Ireland Limited | Google Maps / Solar API für PV-Planung | Irland (EU) |
| Stripe Inc. | Zahlungsabwicklung | Irland (EU) / USA (EU-US DPF) |
(3) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf Unterauftragsverarbeiter und gibt dem Verantwortlichen die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 DSGVO).
§ 4 Unterstützung bei Betroffenenrechten
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflicht des Verantwortlichen, Anträge betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Kapitel III DSGVO zu bearbeiten (Art. 28 Abs. 3 lit. e DSGVO).
(2) Über die Plattform kann der Verantwortliche eigenständig Daten exportieren, berichtigen und löschen. Bei darüber hinausgehenden Anfragen unterstützt der Auftragsverarbeiter den Verantwortlichen.
§ 5 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:
- Verschlüsselung: TLS-Verschlüsselung aller Datenübertragungen, verschlüsselte Datenbank (Supabase encryption at rest)
- Zugriffskontrolle: Row Level Security (RLS) auf Datenbankebene, rollenbasierte Zugriffskontrolle in der Anwendung
- Authentifizierung: Sichere Passwort-Hashing, optionale Zwei-Faktor-Authentifizierung über Supabase Auth
- Mandantentrennung: Strikte Datentrennung zwischen Organisationen durch RLS-Policies auf allen Tabellen
- Datensicherung: Automatische Backups durch Supabase (Point-in-time Recovery)
- Protokollierung: Audit-Logging für sicherheitsrelevante Aktionen
- Verfügbarkeit: Hosting in EU-Rechenzentren (Frankfurt, aws-eu-central-1)
§ 6 Löschung und Rückgabe von Daten
(1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen, sofern nicht eine gesetzliche Pflicht zur Aufbewahrung besteht (Art. 28 Abs. 3 lit. g DSGVO).
(2) Der Verantwortliche hat nach Vertragsbeendigung 30 Tage Zeit, seine Daten über die Export-Funktion der Plattform herunterzuladen.
(3) Die Löschung wird dem Verantwortlichen auf Wunsch bestätigt.
§ 7 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieses AVV zu überprüfen — einschließlich durch Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).
(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen.
§ 8 Meldepflichten bei Datenschutzvorfällen
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 Abs. 2 DSGVO).
(2) Die Meldung enthält mindestens folgende Informationen:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen Maßnahmen
§ 9 Schlussbestimmungen
(1) Dieser AVV tritt mit Registrierung auf der Plattform LYNKOS in Kraft und gilt für die Dauer des Hauptvertrages.
(2) Änderungen dieses AVV bedürfen der Textform.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
(4) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.