Auftragsverarbeitung (AVV)
Stand: Juni 2026
Soweit Kvela im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Kunden verarbeitet, schließen die Parteien einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Die nachstehenden Eckpunkte fassen den Rahmen zusammen; maßgeblich ist die zwischen den Parteien unterzeichnete AVV.
1. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten zur Erbringung der beauftragten Automatisierungs- und Compliance-Leistungen. Die Dauer entspricht der Laufzeit des Hauptvertrags.
2. Art, Zweck und Kategorien
Art und Zweck ergeben sich aus dem jeweiligen Use Case (z. B. Posteingang-Triage, Angebots-Generierung). Betroffene können Kunden, Interessenten, Beschäftigte und sonstige Kontakte des Verantwortlichen sein.
3. Technische und organisatorische Maßnahmen (TOMs)
- EU-Hosting (Serverstandort Deutschland), verschlüsselte Übertragung
- Zugriffs- und Berechtigungskonzept, Protokollierung
- Mensch-im-Kreis-Freigabe vor ausgehender Kommunikation
- Datentrennung, Datensparsamkeit, regelmäßige Überprüfung
4. Unterauftragsverarbeiter
Kvela setzt sorgfältig ausgewählte Unterauftragsverarbeiter ein (z. B. EU-Hosting, Modellanbieter, Mailversand). Mit jedem besteht ein AVV. Änderungen werden dem Kunden mit Widerspruchsmöglichkeit angezeigt. Für besonders sensible Daten steht eine On-Premise-Option zur Verfügung.
5. Rechte des Verantwortlichen
Der Kunde bleibt Verantwortlicher i. S. d. DSGVO. Kvela verarbeitet Daten ausschließlich nach dokumentierter Weisung und unterstützt den Kunden bei Betroffenenrechten und Meldepflichten.
6. Löschung und Rückgabe
Nach Abschluss der Leistungen werden personenbezogene Daten nach Wahl des Kunden gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Exportierbares n8n-JSON ermöglicht die Übernahme ohne Vendor-Lock-in.
Eine unterschriftsreife AVV stellen wir auf Anfrage bereit: datenschutz@kvela.de.