Vereinbarung zur Auftragsverarbeitung
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
zwischen dem Auftraggeber (nachfolgend „Auftraggeber") und
Lass mal machen Ltd.
Sheriff Street Upper, Glazier House
D01H2Y9 Dublin, Irland
Vertreten durch: Rene Sulski
E-Mail: rene@lassmalmachen.work
nachfolgend „Auftragsverarbeiter" oder „Sales Intelligence Labs"
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der vertraglich vereinbarten Dienstleistungen. Gegenstand des Auftrags sind insbesondere:
• Implementierung und Konfiguration von CRM-Systemen (z.B. HubSpot)
• Aufbau von Vertriebsstrukturen und Sales-Prozessen
• Durchführung von Outbound-Kampagnen und Lead-Management
• Erstellung von Sales-Content mit Bezug zu Kundendaten
• Analyse und Optimierung von Vertriebspipelines
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des zugrunde liegenden Dienstleistungsvertrags. In der Regel beträgt die Projektlaufzeit sechs Monate, sofern nicht individuell anderes vereinbart wurde.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Dienstleistungen. Dies umfasst insbesondere:
• Erfassung, Strukturierung und Pflege von Kontaktdaten im CRM-System des Auftraggebers
• Segmentierung und Qualifizierung von Leads
• Erstellung und Versand personalisierter Outreach-Nachrichten über vom Auftraggeber autorisierte Kanäle (E-Mail, LinkedIn)
• Analyse von Vertriebskennzahlen und Reporting
• Konfiguration von Automatisierungen und Workflows im CRM
• Schulung und Dokumentation für das Team des Auftraggebers
§ 3 Art der personenbezogenen Daten
Gegenstand der Verarbeitung sind folgende Kategorien personenbezogener Daten:
• Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Firmenanschrift)
• Berufliche Daten (Jobtitel, Unternehmen, Abteilung, Branche)
• Kommunikationsdaten (E-Mail-Verlauf, Nachrichteninhalte, Interaktionshistorie)
• CRM-Daten (Pipeline-Status, Deal-Werte, Aktivitätsprotokoll)
• Öffentlich verfügbare Profildaten (LinkedIn-Profile, Unternehmenswebsites)
• Technische Daten (IP-Adressen bei E-Mail-Tracking, sofern vom Auftraggeber aktiviert)
§ 4 Kategorien betroffener Personen
• Potenzielle Kunden (Leads, Prospects) des Auftraggebers
• Bestehende Kunden und Geschäftspartner des Auftraggebers
• Ansprechpartner und Mitarbeiter bei Zielunternehmen
• Mitarbeiter des Auftraggebers (im Rahmen von CRM-Schulungen und Nutzerverwaltung)
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder dem Recht des Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherheit der Verarbeitung.
(4) Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.
(5) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt.
§ 6 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen:
Vertraulichkeit:
• Zugangskontrolle: Zugang zu Systemen ausschließlich über individuelle, passwortgeschützte Benutzerkonten mit Zwei-Faktor-Authentifizierung (2FA)
• Zugriffskontrolle: Zugriff auf personenbezogene Daten des Auftraggebers nur durch autorisierte Personen nach dem Prinzip der minimalen Berechtigung
• Verschlüsselung: Transportverschlüsselung (TLS/SSL) für alle Datenübertragungen. Festplattenverschlüsselung auf allen Arbeitsgeräten
Integrität:
• Eingabekontrolle: Nachvollziehbarkeit von Dateneingaben, Änderungen und Löschungen über CRM-Aktivitätsprotokolle
• Weitergabekontrolle: Personenbezogene Daten werden nicht an unbefugte Dritte weitergegeben. Übertragung erfolgt ausschließlich über verschlüsselte Kanäle
Verfügbarkeit und Belastbarkeit:
• Verfügbarkeitskontrolle: Regelmäßige Sicherung relevanter Projektdaten. Nutzung professioneller Cloud-Dienste mit redundanter Datenspeicherung
• Rasche Wiederherstellbarkeit der Daten im Störungsfall
Verfahren zur regelmäßigen Überprüfung:
• Regelmäßige Überprüfung der getroffenen Maßnahmen
• Sensibilisierung der an der Verarbeitung beteiligten Personen
§ 7 Unterauftragsverarbeiter
(1) Der Auftragsverarbeiter setzt derzeit folgende Unterauftragsverarbeiter ein:
• HubSpot, Inc. (USA) — CRM-Plattform, sofern vom Auftraggeber genutzt
• Apollo.io, Inc. (USA) — Lead-Recherche und Datenanreicherung
• lempire SAS (Frankreich) — Outreach-Automatisierung (Lemlist)
• Netlify, Inc. (USA) — Hosting von Projektwebsites
• Google LLC (USA) — Workspace (E-Mail, Cloud-Speicher)
(2) Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen solche Änderungen Einspruch erheben.
(3) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden, wie sie in dieser Vereinbarung festgelegt sind. Alle genannten Unterauftragsverarbeiter haben sich den EU-Standardvertragsklauseln unterworfen oder verfügen über gleichwertige Garantien.
§ 8 Rechte der betroffenen Personen
(1) Der Auftragsverarbeiter unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den Art. 12 bis 22 DSGVO genannten Rechte der betroffenen Personen.
(2) Wendet sich eine betroffene Person mit einem Antrag nach Art. 12 bis 22 DSGVO direkt an den Auftragsverarbeiter, wird dieser den Antrag unverzüglich an den Auftraggeber weiterleiten.
§ 9 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der Vorschriften zum Datenschutz und dieser Vereinbarung beim Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(2) Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer werden nach angemessener Vorankündigung und unter Berücksichtigung der betrieblichen Abläufe des Auftragsverarbeiters durchgeführt. Der Auftragsverarbeiter ermöglicht und unterstützt diese Überprüfungen.
§ 10 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter unterrichtet den Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Meldung enthält mindestens eine Beschreibung der Art der Verletzung, der betroffenen Datenkategorien und die ungefähre Anzahl der betroffenen Personen. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.
§ 11 Löschung und Rückgabe von Daten
(1) Nach Abschluss der Erbringung der vereinbarten Dienstleistungen oder früher auf Verlangen des Auftraggebers löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten, die im Zusammenhang mit dem Auftrag verarbeitet wurden, und stellt dem Auftraggeber auf Wunsch einen Nachweis über die Löschung aus.
(2) Im Rahmen der Projektübergabe (regulär nach sechs Monaten) werden alle relevanten Daten, Dokumentationen und Zugänge vollständig an den Auftraggeber übergeben. Der Auftragsverarbeiter dokumentiert diese Übergabe.
(3) Eine Aufbewahrung von Daten über das Vertragsende hinaus erfolgt nur, soweit gesetzliche Aufbewahrungspflichten bestehen. In diesem Fall werden die Daten für die weitere Verarbeitung gesperrt.
§ 12 Haftung
Die Haftung des Auftragsverarbeiters richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des zugrunde liegenden Dienstleistungsvertrags (AGB der Lass mal machen Ltd.).
§ 13 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
(2) Diese Vereinbarung unterliegt irischem Recht. Gerichtsstand ist Dublin, Irland.
(3) Diese Vereinbarung tritt mit Unterzeichnung des zugrunde liegenden Dienstleistungsvertrags in Kraft und endet mit der vollständigen Löschung aller personenbezogenen Daten durch den Auftragsverarbeiter.
Stand: März 2026