Muster-AV-Vertrag — Rechtliche Prüfung erforderlich. Dieser Vertrag muss von einem auf Datenschutzrecht spezialisierten Rechtsanwalt geprüft und an die konkreten Verarbeitungsprozesse angepasst werden.

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO · Stand: Juni 2026

Auftraggeber (Verantwortlicher): Der Kunde (gemäß Registrierung)

Auftragnehmer (Auftragsverarbeiter): Raylio GmbH, Musterstraße 1, 20095 Hamburg

Art. 1 — Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (AV-Vertrag) regelt die Rechte und Pflichten des Auftraggebers (Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO) und des Auftragnehmers (Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO) im Zusammenhang mit der Nutzung der SaaS-Plattform „Raylio".

Die Laufzeit entspricht der Laufzeit des zugrundeliegenden Hauptvertrags.

Art. 2 — Art und Zweck der Verarbeitung

Art der Verarbeitung: Erhebung, Speicherung, Übermittlung, Nutzung und Löschung

Zweck: Bereitstellung der SaaS-Plattform inkl. CRM, Abrechnung, Customer Success und Support

Kategorien betroffener Personen:

Kunden des Auftraggebers (Unternehmensvertreter, Ansprechpartner)
Mitarbeiter des Auftraggebers (Staff-Nutzer der Plattform)

Kategorien personenbezogener Daten:

Stammdaten: Name, E-Mail-Adresse, Telefonnummer, Unternehmen
Vertragsdaten: Tarifwahl, Vertragshistorie, MRR
Nutzungsdaten: Login-Zeitpunkte, Aktivitätsprotokolle
Zahlungsdaten: Rechnungen, Zahlungsstatus (kein Speichern von Kartendaten)

Art. 3 — Weisungsrecht

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Diese AGB nebst AV-Vertrag sowie der Hauptvertrag gelten als solche Weisung.

Art. 4 — Pflichten des Auftragnehmers

Verarbeitung ausschließlich auf Weisung des Auftraggebers
Gewährleistung der Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
Ergreifung geeigneter technischer und organisatorischer Maßnahmen (TOMs, Art. 32 DSGVO)
Unterstützung bei der Erfüllung von Betroffenenrechten
Löschung oder Rückgabe aller Daten nach Vertragsende
Bereitstellung aller notwendigen Informationen für Prüfungen

Art. 5 — Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer trifft insbesondere folgende Maßnahmen:

Zutrittskontrolle:Gesichertes Rechenzentrum, Zutritt nur für befugtes Personal

Zugangskontrolle:Passwortgeschützte Systeme, 2FA für privilegierte Konten

Zugriffskontrolle:Rollenbasierte Zugriffskontrolle (RBAC), Prinzip der minimalen Berechtigung

Weitergabekontrolle:Verschlüsselung bei Datenübertragung (TLS 1.3)

Eingabekontrolle:Audit-Log aller Verarbeitungsaktivitäten

Verfügbarkeitskontrolle:Regelmäßige Backups, Notfallkonzept

Trennbarkeit:Mandantentrennung durch technische Isolation

Art. 6 — Unterauftragsverarbeiter

Der Auftragnehmer darf Unterauftragsverarbeiter einsetzen. Bestehende Unterauftragsverarbeiter:

Stripe Inc., USA — Zahlungsabwicklung (SCCs nach Art. 46 DSGVO)
[Hosting-Anbieter] — Serverinfrastruktur
[E-Mail-Dienstleister] — Transaktions-E-Mails

Über wesentliche Änderungen bei Unterauftragsverarbeitern wird der Auftraggeber informiert und erhält ein Widerspruchsrecht.

Art. 7 — Betroffenenrechte

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Übertragbarkeitsanfragen.

Art. 8 — Datenschutz-Folgenabschätzung

Der Auftragnehmer unterstützt den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO, soweit erforderlich.

Art. 9 — Löschung und Rückgabe

Nach Vertragsende werden alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Wunsch wird ein Löschnachweis ausgestellt.