Auftragsverarbeitungs­vereinbarung

Parteien. vondot GmbH (Illstraße 3, 6800 Feldkirch, Österreich — FN 525834 k) — nachfolgend „Overwise" oder „wir"; und der im zugrundeliegenden Abonnement benannte Kunde — nachfolgend „Kunde" oder „Sie".

Anwendungsbereich. Diese Auftragsverarbeitungs­vereinbarung („AVV") regelt die Verarbeitung personenbezogener Daten, die Overwise im Auftrag des Kunden im Rahmen des Overwise-Dienstes durchführt. Sie ergänzt die AGB und die Datenschutzerklärung. Für Kunden im Founder-Team-Plan ist diese AVV automatisch Vertragsbestandteil. Für die Pläne Starter und Growth wird sie auf Anfrage an [email protected] bereitgestellt (Antwort innerhalb von fünf Werktagen). AVV-relevante Regelungen, die Lead-Betroffene unabhängig von einem konkreten Kundenverhältnis betreffen, sind in der Datenschutzerklärung zusammengefasst und gelten plan-übergreifend.

„Personenbezogene Daten", „Verarbeitung", „Betroffene Person", „Verantwortliche/r", „Auftragsverarbeiter", „Verletzung des Schutzes personenbezogener Daten" haben die Bedeutungen der DSGVO.

„Dienst" bezeichnet Overwise, wie unter overwise.com beschrieben.

„Unterauftragsverarbeiter" ist ein von Overwise beauftragter Dritter, der im Auftrag des Kunden personenbezogene Daten verarbeitet.

„Anwendbares Datenschutzrecht" umfasst die DSGVO, das österreichische DSG, UK GDPR und UK Data Protection Act 2018, das revidierte Schweizer DSG, CCPA/CPRA und weitere US-Bundesstaatengesetze, soweit anwendbar, sowie sonstiges für die Verarbeitung einschlägiges Recht.

„SCCs" bezeichnet die Standardvertragsklauseln des Durchführungsbeschlusses (EU) 2021/914 vom 4. Juni 2021.

„DPF" bezeichnet das EU-US Data Privacy Framework sowie soweit einschlägig die UK-Extension und den Swiss-US DPF.

„TIA" bezeichnet eine Transfer Impact Assessment nach der Methodik der EDSA-Empfehlung 01/2020.

Overwise hat drei Rollen, analog zur Datenschutzerklärung §2.

• Alleinverantwortliche für Konto-, Abrechnungs- und Website-Analyse-Daten sowie für den öffentlichen Lead-Pool (PublicLead), den Overwise aus eigener Initiative aufbaut.
• Gemeinsam Verantwortliche mit dem Kunden (Art. 26 DSGVO) an der Schnittstelle, an der das Kunden-ICP auf den Pool angewendet und ein bestimmter Lead zur Ansprache ausgewählt wird. Der wesentliche Inhalt der Vereinbarung ist in der Datenschutzerklärung §2 dargestellt und in Anlage A zu dieser AVV zusammengefasst, damit der Kunde sich darauf in seinen eigenen Verzeichnissen stützen kann.
• Auftragsverarbeiter für den Kunden für alles, was der Kunde in seinem Projekt anlegt oder importiert: Kampagneninhalte, ICP- und Brand-Voice-Konfiguration, Entwürfe, gesendete Nachrichten, Antworten, Schreibstil-Samples, manuell hochgeladene Leads, Suppression-Einträge und Engagement-Events.

Dieser Abschnitt 3 regelt das Auftragsverarbeitungsverhältnis. Die Allein- und die gemeinsame Verantwortlichkeit werden durch die Datenschutzerklärung und — für die gemeinsame Verantwortlichkeit — durch Anlage A geregelt.

Overwise verarbeitet die personenbezogenen Daten des Kunden ausschließlich auf dokumentierte Weisung des Kunden (Art. 28 Abs. 3 lit. a DSGVO). Weisungen ergeben sich (a) aus der vom Kunden im Produkt vorgenommenen Konfiguration (ICP, Kampagnen-Einstellungen, Sender-Konfiguration, Suppression-Liste, Autopilot-Schalter), (b) aus dieser AVV und (c) aus den AGB. Overwise teilt dem Kunden unverzüglich mit, wenn nach Auffassung von Overwise eine Weisung gegen Anwendbares Datenschutzrecht verstößt.

Overwise stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen sich zur Vertraulichkeit verpflichtet haben. Als in Österreich ansässiger Auftragsverarbeiter hat Overwise seine Mitarbeiter nach § 6 DSG zum Datengeheimnis verpflichtet; diese Verpflichtung wirkt über das Ende des Beschäftigungsverhältnisses hinaus, unabhängig vom Ort der Verarbeitung. Der Zugriff auf personenbezogene Daten des Kunden ist auf Mitarbeiter beschränkt, die diesen zur Erbringung des Dienstes und zur Erfüllung dieser AVV benötigen.

Overwise setzt geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus um:

• AES-256-Verschlüsselung im Ruhezustand für alle personenbezogenen Daten in Primär- und Vector-Datenbanken sowie für Postfach-Refresh-Tokens (Envelope Encryption)
• TLS 1.3 für alle Daten in der Übertragung
• Ausschließlich OAuth-Authentifizierung für Endnutzer; Multi-Faktor-Authentifizierung verpflichtend für jeden Administrationszugriff und für Endnutzer verfügbar
• Least-Privilege-Rollentrennung; Bereitstellung und Entzug von Berechtigungen werden protokolliert
• Audit-Logs aller Administrationszugriffe; Aufbewahrung 90 Tage
• Netzwerksegmentierung; private Subnets für Primär-Datenbank und Vector-Store; keine öffentlichen Endpunkte für zustandsbehaftete Dienste
• Verschlüsselte Backups mit eingeschränktem Zugriff; vierteljährliche Recovery-Tests
• Pseudonymisierung, wo praktikabel
• Secrets-Scanning in CI; Dependency-Vulnerability-Scanning; wöchentlicher Patch-Rhythmus für kritische Issues
• Dokumentiertes Incident-Response-Runbook; On-Call-Rotation; Post-Incident-Review mit Root-Cause-Analyse

Die vollständige Sicherheitsarchitektur ist unter /de/security dokumentiert. Maßnahmen können dem Stand der Technik folgend angepasst werden; wesentliche Änderungen werden dem Kunden mitgeteilt.

Betroffene Personen: die Prospects/Leads, die der Kunde über Overwise anspricht; die Mitglieder des Kunden-Teams mit Overwise-Konten.

Im Auftrag des Kunden verarbeitete Datentypen: Name, geschäftliche E-Mail, geschäftliche Telefonnummer, öffentliche LinkedIn-/Instagram-Profil-URLs, Firmenzugehörigkeit, Rolle, Anreicherungssignale aus öffentlichen Quellen (Karriereseite, jüngste Finanzierung, Tech-Stack), Schreibstil-Samples (vom Kunden ausgewählte Auszüge aus dem Gesendet-Ordner), Outreach-Korrespondenz (Entwürfe, gesendete Nachrichten, Antworten), Engagement-Events.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Overwise fordert solche Daten nicht an, leitet sie nicht ab, scort sie nicht und verwendet sie zu keinem Zweck. Der Kunde weist Overwise an, etwaige Art.-9-Daten, die beiläufig über die Postfach-Synchronisation einlaufen, ausschließlich im zur Diensterbringung erforderlichen Umfang zu behandeln: Transit, Reply-Klassifikation (positiv/negativ/abwesend/Referral/Unsubscribe), Suppression und Aufbewahrung gemäß Aufbewahrungsfristen. Solche Daten fließen nie in ICP-Scoring, Trust-Score, Brand-Voice-Training oder ein Modell ein. Der Kunde sichert zu, keine Art.-9-Daten vorsätzlich in Overwise hochzuladen oder einzufügen, und erkennt an, dass dies außerhalb des vereinbarten Verarbeitungsumfangs liegt.

Der Kunde erteilt hiermit die allgemeine schriftliche Genehmigung nach Art. 28 Abs. 2 DSGVO, Unterauftragsverarbeiter einzusetzen. Aktuelle Unterauftragsverarbeiter:

• Anthropic, PBC — LLM (Drafting + Reply-Klassifikation) — USA (Delaware)
• OpenAI Ireland Limited als Verarbeitungs-Entity für EWR-geroutete Inferenz und OpenAI, L.L.C. als Nebenentity für Account und Billing — Embeddings und Fallback-LLM — IE / USA
• MongoDB Limited (Irland) für EWR-gehostete Cluster / MongoDB, Inc. (Delaware) für übrige — Primärdatenbank, Hosting-Region EU-Central (Frankfurt) — IE / US
• Qdrant Solutions GmbH — Vector-Datenbank (Brand-Voice und Contact-Similarity) — Deutschland
• Stripe Payments Europe, Ltd für EWR-Kunden / Stripe, Inc. für US-Kunden — Abrechnung — IE / US
• Resend Inc. — Transaktionale E-Mail (primary) — USA (Delaware)
• ActiveCampaign, LLC (Wildbit Business Unit / Postmark) — Transaktionale E-Mail (failover) — USA
• Sideguide Technologies Inc. (d/b/a Firecrawl) — Website-Rendering für Lead-Research — USA (Delaware)
• Apify Technologies s.r.o. — optionales Lead-Discovery-Scraping — Tschechien (Prag)
• Functional Software, Inc. (d/b/a Sentry) — Error-Tracking — USA
• Plausible Insights OÜ — cookieloses Analytics für overwise.com — Estland

Die jeweils aktuelle Liste inklusive DPA-Links liegt unter /de/security. Overwise kündigt das Hinzufügen oder den Austausch eines Unterauftragsverarbeiters mindestens 30 Tage vorher schriftlich an (Subscribe unter /de/security). Der Kunde kann binnen 15 Tagen aus berechtigten Datenschutzgründen widersprechen; können sich die Parteien nicht auf eine Abhilfe einigen, kann der Kunde den betroffenen Teil des Dienstes ohne Strafe kündigen.

Die primäre Verarbeitung der Kundendaten verbleibt in der EU (Frankfurt). Für Übermittlungen außerhalb des EWR stützt sich Overwise fallweise auf die jeweils empfangende Rechtsperson:

• DPF, sofern die empfangende Rechtsperson aktuell auf der DPF-Liste unter dataprivacyframework.gov/list geführt wird. Overwise prüft die Rechtsperson vor jeder Sub-Processor-Änderung und veröffentlicht die aktuelle Zuordnung unter /de/security.
• SCCs 2021, mit dem zur Rolle passenden Modul:
  · Modul 2 (Controller-zu-Processor) für Anthropic, OpenAI, Resend, Postmark (ActiveCampaign), Sentry, Apify, Firecrawl, Qdrant, MongoDB und andere Sub-Processors, die für Overwise als Auftragsverarbeiter handeln.
  · Modul 3 (Processor-zu-Processor) für Sub-Processor-Transfers, die aus dem Kundenverhältnis weitergeleitet werden (Overwise als Auftragsverarbeiter des Kunden gibt an Sub-Processor weiter).
  · Modul 1 (Controller-zu-Controller) für Stripe, das im Rahmen seines eigenen DPA als unabhängiger Verantwortlicher für Fraud-Detection und AML-Zwecke handelt, sowie für sonstige Transfers, die Overwise in seiner Verantwortlichen-Rolle (öffentlicher Lead-Pool) an einen Anbieter durchführt, der selbst Verantwortlicher ist. Modul 1 gilt nicht für die in Abschnitt 8 gelisteten Sub-Processors, die als unsere Auftragsverarbeiter handeln.
• UK Addendum (IDTA) für Transfers mit UK-Personendaten.
• Schweiz-SCC-Anhang für Transfers mit Schweizer Personendaten.
• TIA pro empfangender Rechtsperson nach EDSA-Empfehlung 01/2020; mindestens jährlich und bei Triggern überprüft (FISA §702-Reauthorisation, Executive Order 14086 zu Signals Intelligence, neue SCC-Versionen). Zusammenfassungen auf Anfrage.

Overwise unterstützt den Kunden bei der Erfüllung seiner Pflichten aus Art. 12-23 DSGVO durch angemessene technische und organisatorische Maßnahmen: In-App-Datenexport und Kontolöschung, Suppression-Flow unter /suppress, Response-Tooling. Erreicht Overwise eine Betroffenenanfrage, die Kundendaten betrifft, leitet Overwise sie unverzüglich an den Kunden weiter und in jedem Fall so rechtzeitig, dass der Kunde innerhalb der Fristen aus Art. 12 Abs. 3 DSGVO reagieren kann.

Kunden-Breaches. Overwise meldet dem Kunden eine bestätigte Verletzung des Schutzes personenbezogener Daten, die dessen personenbezogene Daten betrifft, unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Bestätigung. Die Erstmeldung enthält die jeweils bekannten Informationen; weitere nach Art. 33 Abs. 3 DSGVO erforderliche Angaben (Art der Verletzung, Kategorien und Anzahl betroffener Personen und Datensätze, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen) werden nachgereicht, sobald verfügbar, damit der Kunde seine eigenen Pflichten aus Art. 33 und Art. 34 erfüllen kann. Overwise leistet darüber hinaus angemessene Mitwirkung an Untersuchung, Eindämmung und Benachrichtigung durch den Kunden.

Breaches im Bereich der gemeinsamen Verantwortlichkeit. Betrifft eine Verletzung den öffentlichen Lead-Pool oder die in Abschnitt 3 / Anlage A beschriebene Joint-Controller-Schnittstelle, meldet Overwise sie der zuständigen Aufsichtsbehörde (Österreichische Datenschutzbehörde) innerhalb von 72 Stunden nach Art. 33 Abs. 1 DSGVO und informiert den Kunden gleichzeitig, damit dieser seine eigenen Joint-Controller-Pflichten erfüllen kann.

Overwise leistet dem Kunden angemessene Mitwirkung und Auskunft zur Unterstützung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO und vorherigen Konsultationen mit Aufsichtsbehörden nach Art. 36 DSGVO. Dazu zählen auf Anfrage Vorlagen-Inhalte für DSFA zu Lead-Discovery- und Outbound-Kampagnen-Anwendungen.

Einmal pro Kalenderjahr kann der Kunde (oder ein vom Kunden beauftragter unabhängiger Prüfer unter Vertraulichkeitsverpflichtung) mit 30 Tagen Vorankündigung die Einhaltung dieser AVV durch Overwise prüfen. Overwise unterstützt durch (i) Beantwortung eines angemessenen Sicherheits-Fragebogens, (ii) Einsicht in relevante Drittpartei-Auditberichte — SOC 2 Type 1 angestrebt Q2 2026; SOC 2 Type 2 angestrebt Q4 2026; ISO-27001-Roadmap auf Anfrage — und (iii) auf Anfrage ein Remote-Audit-Interview. Vor-Ort-Audits erfolgen auf zumutbare Kosten des Kunden und nur, wenn der Kunde ein konkretes, remote nicht klärbares Anliegen darlegt.

Erweiterte Auditrechte. Die jährliche Höchstgrenze gilt nicht, (a) wenn eine zuständige Aufsichtsbehörde ein Audit ihrer Verarbeitung beim Kunden mit Auswirkungen auf Overwise anordnet oder konkret verlangt, oder (b) im Nachgang einer bestätigten Verletzung des Schutzes personenbezogener Daten, die den Kunden betrifft. In diesen Fällen kann der Kunde mit angemessener Vorankündigung ohne jährliche Begrenzung auditieren.

Bei Beendigung des Dienstes oder auf frühere schriftliche Anweisung des Kunden löscht Overwise die personenbezogenen Daten des Kunden gemäß der Aufbewahrungsfristen in der Datenschutzerklärung §9: 30 Tage Lesezugriff für Reaktivierung, danach Hard-Delete aus dem Primärspeicher; verschlüsselte Backups innerhalb weiterer 60 Tage gelöscht; Postfach-Refresh-Tokens beim Anbieter widerrufen und in der Overwise-Datenbank binnen 24 Stunden gelöscht. Auf schriftliche Anweisung erfolgt stattdessen die Rückgabe als strukturierter Export (gemäß Art. 25 der Verordnung (EU) 2023/2854 — Data Act). Über diese Fristen hinaus werden ausschließlich (i) Buchhaltungs- und Vertragsdokumente sieben Jahre nach UGB §190 aufbewahrt; sie umfassen nicht den Lead-Pool, Postfach-Inhalte oder Kampagnen-Inhalte. Suppression-Einträge werden unbefristet als Compliance-Nachweis für Widersprüche behalten (Art. 17 Abs. 3 lit. b/e, Art. 21 Abs. 3 DSGVO).

Die Haftung unter dieser AVV unterliegt den Beschränkungen und Ausschlüssen in Abschnitt 10 der AGB, unbeschadet jeder Haftung, die nach Anwendbarem Datenschutzrecht oder zwingendem Recht nicht ausgeschlossen werden kann. Für (a) nach Art. 83 DSGVO verhängte Geldbußen oder (b) Drittforderungen nach Art. 82 DSGVO, die jeweils kausal auf einen Verstoß von Overwise gegen diese AVV zurückzuführen sind — einschließlich im Rahmen der gesamtschuldnerischen Haftung aus Art. 26 Abs. 3 / Art. 82 DSGVO — wird der Cap aus AGB §10 angehoben auf den höheren Betrag von (i) vierundzwanzig Monaten der vom Kunden gezahlten Entgelte oder (ii) EUR 250.000. Der erhöhte Cap reflektiert die erhöhte Risikoallokation aus der gemeinsamen Verantwortlichkeit nach Anlage A.

Diese AVV unterliegt dem materiellen österreichischen Recht; Gerichtsstand und Schiedsverfahren gemäß Abschnitt 15 der AGB. Im Konfliktfall zwischen dieser AVV und den AGB geht diese AVV für Fragen des Datenschutzes vor.

Founder-Team-Kunden: Diese AVV ist mit Annahme der AGB Vertragsbestandteil. Starter- und Growth-Kunden: gegengezeichnete Ausfertigung auf schriftliche Anfrage an [email protected]; Antwort innerhalb von fünf Werktagen.

Diese Anlage stellt den wesentlichen Inhalt der Vereinbarung über die gemeinsame Verantwortlichkeit zwischen Overwise und dem Kunden an der in Abschnitt 3 und in der Datenschutzerklärung §2 beschriebenen Schnittstelle dar.

1. Gemeinsame Festlegung. Overwise baut und pflegt den öffentlichen Lead-Pool aus eigener Initiative. Der Kunde definiert das Ideal Customer Profile (ICP). Beide Faktoren zusammen — Pool und ICP — bestimmen, welche natürlichen Personen aus dem Pool zur Ansprache ausgewählt werden. Insoweit legen die Parteien die Mittel der Verarbeitung gemeinsam im Sinne von Art. 26 Abs. 1 DSGVO fest.

2. Aufgabenverteilung.

• Overwise verantwortet: die Rechtmäßigkeit der Discovery aus öffentlichen Quellen und das Halten des zugrundeliegenden Pools; die Quellen-Nachvollziehbarkeit pro Lead; den Art.-13/14-Transparenz-Hinweis mit Datenherkunfts-Hinweis in der ersten Nachricht; die plattformweite Suppression-Liste und die kundenübergreifende Wirkung von Widersprüchen (Art. 21 DSGVO); die Sicherheit des Dienstes.
• Der Kunde verantwortet: die Rechtsgrundlage (oder Einwilligung, soweit erforderlich) für den Versand einer bestimmten Nachricht an einen bestimmten Empfänger; die Einhaltung des Anti-Spam-Rechts am Empfängerort (einschließlich § 174 TKG (AT), CAN-SPAM (USA), CASL (Kanada), PECR (UK) und entsprechender Regelungen); Inhalt, Richtigkeit und Angemessenheit der Nachricht; das Belassen des nach EU AI Act Art. 50 Abs. 4 verpflichtenden KI-Disclosure-Footers in jeder ausgehenden Nachricht.

3. Anlaufstelle für betroffene Personen (Art. 26 Abs. 2 DSGVO). Unabhängig von dieser Aufgabenverteilung kann die betroffene Person ihre Rechte gegenüber jeder der beiden Parteien geltend machen. Overwise fungiert als operative One-Stop-Shop unter [email protected]: nimmt Anfragen entgegen, triagt, handelt im Rahmen seiner Pflichten und leitet Anfragen, die die eigenständige Verantwortung des Kunden betreffen, unverzüglich an den Kunden weiter, sodass dieser innerhalb der Frist aus Art. 12 Abs. 3 reagieren kann.

4. Zusammenarbeit. Jede Partei stellt der anderen die zur Demonstration der Einhaltung dieser Anlage und der DSGVO erforderlichen Informationen zur Verfügung und unterstützt die andere bei Anfragen einer Aufsichtsbehörde.