Entwurf — vor Live-Schaltung anwaltlich prüfen lassenDieser Text ist ein Arbeitsstand, kein finaler Rechtstext. Eine Prüfung durch eine Kanzlei für IT-Recht / Vertriebsrecht mit SaaS-Erfahrung ist erforderlich, bevor er für Kunden verbindlich wird.
Art. 28 DSGVO

Auftragsverarbeitungsvertrag

Stand: 25. Mai 2026

Vertragspartner

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") wird geschlossen zwischen

  • dem Kunden (im Folgenden „Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO) — also der natürlichen oder juristischen Person, die das bemailed-Konto eröffnet —
  • und der Essential Advertising GmbH, Adenauerallee 2, 61440 Oberursel, vertreten durch den Geschäftsführer Daniel Klantke (im Folgenden „Auftragsverarbeiter" im Sinne des Art. 4 Nr. 8 DSGVO).

Der AVV wird in elektronischer Form per Click-Wrap beim Signup geschlossen. Die elektronische Form ist nach Art. 28 Abs. 9 DSGVO ausdrücklich zulässig. Mit Klick auf die separate AVV-Checkbox im Signup-Formular kommt der Vertrag mit dem hier wiedergegebenen Inhalt zustande. Zeitpunkt, IP-Adresse, User-Agent und Versions-Hash der akzeptierten Fassung werden audit-fest in der Datenbank protokolliert.

§1 Gegenstand und Dauer

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag und nach Weisung des Verantwortlichen — konkret der Versand von Newslettern an vom Verantwortlichen bereitgestellte Empfänger-Listen sowie das damit verbundene Tracking, Bounce- und Complaint-Handling.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (AGB) zwischen den Parteien zuzüglich der in §12 geregelten Rückgewinnungsfrist.

§2 Art und Umfang der verarbeiteten Daten

Der Auftragsverarbeiter verarbeitet folgende Datenkategorien:

  • Empfänger-Stammdaten: E-Mail-Adresse, Vorname, Nachname, Firma, vom Verantwortlichen definierte Custom-Fields.
  • Engagement- und Status-Daten:Opt-In-Zeitstempel, Open-Events, Click-Events, Unsubscribe-Events, Hard- und Soft-Bounce-Events, Spam-Complaint-Events.
  • Versand-Metadaten: SES-Message-IDs, Versand- Zeitstempel, Routing-Status-Logs, vom Mail-Provider zurück- gemeldete Delivery-Status.

Nicht verarbeitet werden besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (etwa Gesundheits-, Religions-, Gewerkschafts- oder politische Daten). Der Verantwortliche verpflichtet sich, derartige Daten nicht über bemailed zu speichern oder zu versenden. Sollte die geplante Nutzung besondere Kategorien einschließen, ist vorher eine ausdrückliche schriftliche Sondervereinbarung mit dem Auftragsverarbeiter zu treffen.

§3 Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich dem Versand vom Verantwortlichen verfasster Newsletter-Inhalte an die vom Verantwortlichen hochgeladenen Empfänger sowie der für den ordnungsgemäßen Versand erforderlichen Begleit-Verarbeitung (Bounce-/Complaint-Handling, Tracking sofern vom Verantwortlichen aktiviert, gesetzliche Pflichten wie List-Unsubscribe).

Eine Weiterverarbeitung der Empfänger-Daten zu eigenen Zwecken des Auftragsverarbeiters (z.B. Marketing, Profilbildung, Verkauf an Dritte) findet nicht statt.

§4 Dauer der Speicherung

  • Während der Vertragslaufzeit werden die Daten so lange gespeichert, wie der Verantwortliche sie für seinen Versand benötigt.
  • Nach Vertragsende werden Empfänger-Daten und Tracking-Logs für maximal 30 Tage als Rückgewinnungsfrist aufbewahrt. Innerhalb dieser Frist kann der Verantwortliche jederzeit eine sofortige Löschung verlangen.
  • Nach Ablauf der 30 Tage erfolgt die unwiderrufliche Löschung aller Empfänger-Daten und Tracking-Logs aus den aktiven Systemen. Backups werden im Standard-Backup-Zyklus (siehe §5) überschrieben.
  • Versand-Metadaten (Message-ID, Empfänger-Adresse, Versand- Zeitstempel, Versand-Status) werden zum Zweck der Erfüllung handelsrechtlicher Aufbewahrungspflichten nach §147 AO und §257 HGB bis zu 10 Jahre aufbewahrt; sie liegen dann in einem separaten Archiv ohne Verknüpfung mit Tracking-Daten.

§5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, insbesondere:

  • Verschlüsselung in Transit: TLS 1.2 oder höher für sämtliche Mail-Versendungen (AWS-SES-Standard), HTTPS mit HSTS für die gesamte Web-Anwendung.
  • Verschlüsselung at-rest: AES-256 für die Datenbank (Supabase-Standard) und für Backups.
  • Zutrittskontrolle: Hosting ausschließlich in Cloud-Rechenzentren (AWS, Supabase, Vercel) mit ISO-27001- zertifizierter physischer Sicherheit, EU-Region (Frankfurt,eu-central-1). Mitarbeiter-Zugriff nur über IAM mit Multi-Faktor-Authentifizierung.
  • Zugangskontrolle: Pflicht-2FA für alle internen Zugänge, eindeutige Benutzerkonten, regelmäßige Passwort-Rotation, Argon2id-Hashing für Kunden-Passwörter (Supabase Auth).
  • Zugriffskontrolle und Datentrennung: Logische Multi-Tenancy über workspace_id mit Row-Level-Security-Policies in der Postgres- Datenbank — kein Konto kann auf die Daten eines anderen Kontos zugreifen.
  • Pseudonymisierung: Tracking-Pixel und Click-Tracking-Links verwenden pseudonyme IDs; die Verknüpfung mit der E-Mail-Adresse erfolgt erst serverseitig in der isolierten Workspace-Datenbank.
  • Backups: Tägliche automatische Backups in EU-Region, 30 Tage Retention, verschlüsselt.
  • Logging und Monitoring: Audit-Log aller datenverarbeitenden Aktionen (90 Tage Retention), Error-Monitoring via Sentry mit PII-Filtering (sendDefaultPii: false).
  • Eingabekontrolle: Versand-Aktionen erfordern authentifizierten Login; alle Versand-Triggerings werden revisionssicher protokolliert.
  • Mitarbeiter-Verpflichtung: Schriftliche Vertraulichkeitsverpflichtung nach Art. 28 Abs. 3 lit. b DSGVO für alle mit Kundendaten betrauten Personen.

Die TOMs werden regelmäßig auf Aktualität geprüft und an den technischen Fortschritt angepasst. Der Auftragsverarbeiter wird den Verantwortlichen über wesentliche Änderungen rechtzeitig informieren.

§6 Unterauftragsverarbeiter (Subprozessoren)

Der Verantwortliche stimmt der Beauftragung der nachfolgend aufgeführten Unterauftragsverarbeiter ausdrücklich zu. Eine ausführlichere Beschreibung jedes Subprozessors mit Drittland-Mechanismen findet sich unter /subprozessoren.

  • AWS — Amazon Web Services EMEA SARL (38 Avenue John F. Kennedy, L-1855 Luxemburg) · Simple Email Service in der Region eu-central-1 (Frankfurt) · Versand- Infrastruktur, Bounce-/Complaint-Verarbeitung. EU-Hosting; DPA enthält SCCs für etwaige US-Mutterkonzern-Zugriffe.
  • Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992) · Postgres-Datenbank, Auth, Storage — ausschließlich AWS-Frankfurt (eu-central-1).
  • Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) · Hosting der Web-Anwendung (Next.js Edge + Serverless Functions) · Region Frankfurt (fra1), SCCs + Vercel-DPA, Cloud-Act-Risiko via TIA dokumentiert.
  • Anthropic PBC (548 Market Street, PMB 90375, San Francisco, CA 94104, USA) · Claude-LLM für die optionalen KI-Vorschläge im Newsletter-Editor (Tonalitäts-Anpassung, Betreffzeilen, Inhalts-Vorschläge). Inputs werden ausschließlich Newsletter-Entwurfs-Texte sein — keine Empfänger-Daten oder Tracking-Logs. SCCs + Commercial-Tier-DPA, kein Model-Training.
  • Stripe Payments Europe Ltd (1 Grand Canal Street Lower, Dublin 2, Irland) · Zahlungsabwicklung der Abonnements. Verarbeitet nicht die Empfänger-Daten, sondern ausschließlich Konto- und Rechnungs-Daten des Verantwortlichen.
  • IONOS SE (Elgendorfer Straße 57, 56410 Montabaur, Deutschland) · Domain- und DNS-Hosting fürbemailed.de sowie die DNS-Setup-Unterstützung für die kundenspezifische Versand-Domain via Domain Connect (1-Klick-Konfiguration von DKIM/SPF/DMARC).
  • Sentry / Functional Software Inc. (132 Hawthorne Street, San Francisco, CA 94107, USA) · Error- und Performance-Monitoring der Anwendung mit DSGVO-konformer Konfiguration (sendDefaultPii: false) — verarbeitet ausschließlich Stack-Traces und technische Telemetrie, keine Empfänger-Daten.

Der Auftragsverarbeiter wird mindestens 30 Tage vor Wirksamwerden jeder Änderung des Subprozessor-Bestands den Verantwortlichen per E-Mail informieren. Dem Verantwortlichen steht ein Widerspruchsrecht nach Art. 28 Abs. 2 Satz 2 DSGVO zu; bei Widerspruch ist eine einvernehmliche Lösung anzustreben — gelingt diese nicht, kann der Verantwortliche aus wichtigem Grund kündigen.

§7 Pflichten des Auftragsverarbeiters

  • Weisungsgebundenheit: Die Verarbeitung erfolgt ausschließlich auf dokumentierten Weisungen des Verantwortlichen. Soweit eine Weisung nach Auffassung des Auftragsverarbeiters gegen die DSGVO oder andere Datenschutz-Vorschriften verstößt, wird der Verantwortliche unverzüglich informiert.
  • Vertraulichkeit: Verpflichtung aller mit der Datenverarbeitung betrauten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
  • Sicherheit: Umsetzung und Aufrechterhaltung der in §5 beschriebenen TOMs.
  • Unterstützung: Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO), bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) sowie bei Sicherheitsvorfällen.
  • Meldepflicht: Datenpannen (Verletzungen des Schutzes personenbezogener Daten) werden innerhalb von 72 Stunden nach Kenntnis an den Verantwortlichen gemeldet, inkl. der nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen.

§8 Pflichten des Verantwortlichen

  • Rechtmäßigkeit der Datenerhebung: Der Verantwortliche stellt sicher, dass die Erhebung und Bereitstellung der Empfänger-Daten auf einer wirksamen Rechtsgrundlage nach Art. 6 DSGVO beruht — in der Regel Einwilligung der Empfänger (Art. 6 Abs. 1 lit. a) bei Marketing-Newslettern oder berechtigtes Interesse (lit. f) im B2B-Kontext unter Beachtung des UWG.
  • Double-Opt-In: Soweit gesetzlich oder aufsichtsbehördlich erforderlich, nutzt der Verantwortliche das in bemailed integrierte Double-Opt-In-Verfahren. Bei Import bestehender Listen versichert der Verantwortliche, dass eine wirksame Einwilligung der Empfänger zum Zeitpunkt des Imports vorlag und nachweisbar ist.
  • Informationspflichten gegenüber Empfängern: Der Verantwortliche erfüllt die Informationspflichten nach Art. 13 und 14 DSGVO gegenüber den Empfängern (insbesondere eigene Datenschutzerklärung, Hinweis auf bemailed als Auftragsverarbeiter).
  • Korrekte Weisungen: Sämtliche Weisungen werden schriftlich oder über die im Konto bereitgestellten Konfigurations-Mechanismen erteilt.

§9 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Auskunfts- (Art. 15), Berichtigungs- (Art. 16), Lösch- (Art. 17), Einschränkungs- (Art. 18), Datenübertragbarkeits- (Art. 20) und Widerspruchs-Anfragen (Art. 21). Über das Konto können Empfänger-Daten direkt exportiert, korrigiert oder gelöscht werden. Für komplexere Anfragen steht support@bemailed.de zur Verfügung; Bearbeitung innerhalb von 5 Werktagen.

§10 Datenpannen

Sicherheitsvorfälle, die nach Art. 4 Nr. 12 DSGVO als Verletzung des Schutzes personenbezogener Daten gelten, werden dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnis per E-Mail gemeldet. Die Meldung umfasst die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben (Art und Umfang der Verletzung, betroffene Datenkategorien, voraussichtliche Folgen, getroffene oder vorgeschlagene Maßnahmen).

§11 Kontrollrechte

Der Verantwortliche kann nach rechtzeitiger Voranmeldung (mindestens 4 Wochen) die Einhaltung dieses AVV überprüfen. Die Überprüfung kann

  • schriftlich durch standardisierte Fragebogen, durch Vorlage aktueller Zertifikate (SOC 2, ISO 27001) der Subprozessoren oder durch von einem unabhängigen Auditor erstellte Prüfberichte,
  • oder durch eine Vor-Ort-Prüfung an einem zwischen den Parteien vereinbarten Termin

erfolgen. Der Auftragsverarbeiter kann angemessene Kosten für die Unterstützung in Rechnung stellen, soweit die Prüfung nicht durch einen konkreten Anlass (z.B. Sicherheitsvorfall) ausgelöst wurde.

§12 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags hat der Verantwortliche 30 Tage Zeit, alle ihm überlassenen personenbezogenen Daten zu exportieren (Self-Service-CSV-Export im Konto). Während dieser Frist bleiben die Daten in unveränderter Form vorgehalten („Rückgewinnungsfrist").

Nach Ablauf der 30 Tage erfolgt die automatisierte, unwiderrufliche Löschung aller Empfänger-Daten, Tracking-Logs und konfigurationsbezogenen Inhalte aus den aktiven Systemen. Backups werden im Standard-Zyklus überschrieben. Auf Wunsch stellt der Auftragsverarbeiter eine schriftliche Löschbestätigung aus.

Hiervon ausgenommen sind ausschließlich Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist (siehe §4 Versand-Metadaten / Handelsrecht).

§13 Schlussbestimmungen

Ergänzend gelten die AGB sowie die Datenschutzerklärung für bemailed. Bei Widersprüchen zwischen AGB und AVV bezüglich der Datenverarbeitung gehen die Regelungen dieses AVV vor (Art. 28 DSGVO als zwingendes Recht).

Es gilt deutsches Recht. Gerichtsstand ist Frankfurt am Main, soweit gesetzlich zulässig.

Stand: 25. Mai 2026 · Version 1.0 · Entwurf für bemailed — anwaltlich noch zu prüfen.