Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Version: 1.0 · Stand: Mai 2026
Gilt für: Den SaaS-Dienst „MessengerHub" (messengerhub.de, saas.messengerhub.de)

Vertragsparteien

Auftraggeber (Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO) Firma, Anschrift und Vertreter des Kunden gemäß den bei der Registrierung hinterlegten Daten.

Auftragnehmer (Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO) Vitalij Haun IT HUB · Teutoburger-Wald Str. 26 · 49124 Georgsmarienhütte · info@messengerhub.de

Präambel

Der Auftragnehmer erbringt für den Auftraggeber Leistungen auf Grundlage des zwischen den Parteien geschlossenen Hauptvertrages über die Nutzung des SaaS-Dienstes „MessengerHub". Im Rahmen dieser Leistungen verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers. Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand. Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers zur Erbringung der im Hauptvertrag beschriebenen SaaS-Leistungen – insbesondere:

Bereitstellung einer cloudbasierten Unified Inbox für Kundenkommunikation über WhatsApp Business Cloud API und Telegram Bot API,
Speicherung von Nachrichten, Metadaten und Anhängen,
Anbindung an ERP-Systeme des Auftraggebers (Odoo Community, Dolibarr und vergleichbare Systeme),
Bereitstellung von Funktionen zur Team-Kollaboration, Rollenverwaltung und Reporting.

(2) Dauer. Die Vertragsdauer richtet sich nach der Laufzeit des Hauptvertrages. Der Vertrag endet automatisch mit Beendigung des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung

(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Leistungen sowie im Rahmen weisungsgebundener technischer Wartung und Support.

(2) Die Verarbeitung umfasst: Erhebung von Nachrichten und Metadaten über angebundene Messaging-Plattformen, Speicherung in einer mandantengetrennten Datenbank, Strukturierung und Zuordnung zu Kontakten und ERP-Objekten, Bereitstellung über das Webinterface, anonymisierte Aggregation für Dashboards sowie Löschung nach Aufbewahrungsfristen oder auf Weisung.

(3) Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers – insbesondere zu Werbe-, Profiling- oder KI-Trainingszwecken – findet ausdrücklich nicht statt.

§ 3 Art der personenbezogenen Daten

Stammdaten: Name, Telefonnummer, ggf. E-Mail-Adresse, Profilbild des Endkunden
Kommunikationsinhalte: Text-, Bild-, Audio-, Video- und Dokumentennachrichten
Metadaten: Zeitstempel, Konversationsstatus, Kanal, interne Notizen, Zuweisungen
Nutzungsdaten der Mitarbeiter: E-Mail, Name, Rolle, Login-Zeitstempel, IP-Adresse (gekürzt)
Optionale Daten: ERP-Verknüpfungen, sofern vom Auftraggeber gepflegt

§ 4 Kategorien betroffener Personen

Endkunden des Auftraggebers (WhatsApp/Telegram-Kontakte)
Mitarbeiter und Nutzer des Auftraggebers
Ansprechpartner im ERP-System des Auftraggebers

§ 5 Pflichten des Auftragnehmers

(1) Weisungsgebundenheit. Verarbeitung ausschließlich nach dokumentierten Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO).

(2) Vertraulichkeit. Alle zur Verarbeitung befugten Personen sind auf Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).

(3) Mitwirkung bei Betroffenenrechten. Unterstützung bei Anfragen nach Art. 15–22 DSGVO; direkte Anfragen Betroffener werden unverzüglich an den Auftraggeber weitergeleitet.

(4) Löschung/Rückgabe. Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht; Backups binnen weiterer 60 Tage überschrieben (Art. 28 Abs. 3 lit. g DSGVO).

(5) Nachweis. Der Auftragnehmer stellt alle erforderlichen Informationen zum Nachweis der Compliance zur Verfügung und ermöglicht Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Die TOMs sind in Anlage 1 beschrieben und werden während der gesamten Vertragslaufzeit gewährleistet. Die jeweils aktuelle Fassung ist unter messengerhub.de/docs/legal/toms einsehbar.

§ 7 Unterauftragsverarbeiter

Der Auftraggeber erteilt die allgemeine Genehmigung zur Heranziehung der in Anlage 2 aufgelisteten Unterauftragsverarbeiter. Änderungen werden mit 30 Tagen Vorlauf mitgeteilt; dem Auftraggeber steht ein Widerspruchsrecht zu.

§ 8 Drittlandtransfer

Primäre Infrastruktur in der EU (Frankfurt). Übermittlungen in die USA (Supabase Inc., Resend Inc.) erfolgen auf Basis von EU-Standardvertragsklauseln (SCC 2021/914) ergänzt um Transfer Impact Assessments (TIA) gemäß EuGH C-311/18 (Schrems II).

§ 9 Kontroll- und Auditrechte

Überprüfung durch Selbstauskunft oder Vor-Ort-Kontrolle (14 Tage Voranmeldung, zu üblichen Geschäftszeiten). Kosten trägt der Auftraggeber, außer bei nachgewiesenem schwerwiegenden Verstoß des Auftragnehmers.

§ 10 Mitteilung bei Datenschutzverletzungen

Meldung jeder bekannt gewordenen Datenschutzverletzung unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung per E-Mail mit Beschreibung der Art der Verletzung, betroffener Datenkategorien, wahrscheinlicher Folgen und ergriffener Maßnahmen.

§ 11 Pflichten des Auftraggebers

Der Auftraggeber bleibt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich, insbesondere für das Vorliegen erforderlicher Einwilligungen seiner Endkunden (§ 7 UWG, Art. 6 DSGVO, Meta/Telegram-Richtlinien). Weisungen erfolgen in Textform.

§ 12 Haftung

Art. 82 DSGVO gilt. Im Innenverhältnis haftet der Auftragnehmer nur bei schuldhafter Verletzung der DSGVO-Anforderungen. Die Haftungsbeschränkungen des Hauptvertrages gelten entsprechend.

§ 13 Vergütung

Erfüllung der Pflichten ist mit der Hauptvertragsvergütung abgegolten. Mehraufwände aus Vor-Ort-Kontrollen und aufwändigen Betroffenenanfragen werden nach Aufwand berechnet.

§ 14 Schlussbestimmungen

Änderungen bedürfen der Textform. Bei Widersprüchen geht dieser Vertrag vor. Es gilt deutsches Recht, Gerichtsstand Georgsmarienhütte.

Anlage 1 – TOMs

→ Technische und organisatorische Maßnahmen

Anlage 2 – Unterauftragsverarbeiter

Stand: Mai 2026

Anbieter	Sitz	Zweck	Drittlandtransfer
Hetzner Online GmbH	Deutschland	Server-Hosting Frankfurt	kein Transfer (EU)
Supabase Inc.	USA (Hosting EU Frankfurt)	Datenbank, Authentifizierung	SCC 2021/914 + TIA
Stripe Payments Europe, Ltd.	Irland	Zahlungsabwicklung	kein Transfer (EU)
Resend Inc.	USA	Transaktionale E-Mails	SCC 2021/914 + TIA

Hinweis BYOC-Modell: Meta Platforms Ireland Ltd. (WhatsApp) und Telegram Messenger Inc. sind keine Unterauftragsverarbeiter des Auftragnehmers. Der Auftraggeber schließt diese Verträge direkt und auf eigene Verantwortung.

Dieser Vertrag wird im Onboarding digital akzeptiert (§ 126b BGB, Textform). Zeitstempel und IP-Adresse werden protokolliert.

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ​

Vertragsparteien ​

Präambel ​

§ 1 Gegenstand und Dauer der Verarbeitung ​

§ 2 Art und Zweck der Verarbeitung ​

§ 3 Art der personenbezogenen Daten ​

§ 4 Kategorien betroffener Personen ​

§ 5 Pflichten des Auftragnehmers ​

§ 6 Technische und organisatorische Maßnahmen (TOMs) ​

§ 7 Unterauftragsverarbeiter ​

§ 8 Drittlandtransfer ​

§ 9 Kontroll- und Auditrechte ​

§ 10 Mitteilung bei Datenschutzverletzungen ​

§ 11 Pflichten des Auftraggebers ​

§ 12 Haftung ​

§ 13 Vergütung ​

§ 14 Schlussbestimmungen ​

Anlage 1 – TOMs ​

Anlage 2 – Unterauftragsverarbeiter ​