JAIV - Auftragsverarbeitungsvertrag (AVV) | Data Processing Agreement (DPA)

Auftragsverarbeitungsvertrag (AVV)

Data Processing Agreement (DPA) | Gemäß Art. 28 DSGVO | According to Art. 28 GDPR

Auftragsverarbeiter | Data Processor:

JENNIFER ZITTIER MARKETING - FZCO

IFZA Property FZCO Businesspark DDP

Building A1, PO Box 342001

341041 Dubai Silicon Oasis

United Arab Emirates

Tax Number: 104858189400001

Gültig ab: 19. November 2025

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden (Verantwortlicher) durch JENNIFER ZITTIER MARKETING – FZCO (Auftragsverarbeiter) im Rahmen der Nutzung der JAIV-Software.

Der Vertrag erfüllt die Anforderungen des Art. 28 der Datenschutz-Grundverordnung (DSGVO) und ergänzt die zwischen den Parteien geschlossenen Allgemeinen Geschäftsbedingungen.

§ 1 Vertragsgegenstand und Zweck

1.1 Vertragsgegenstand
Der Auftragsverarbeiter stellt dem Verantwortlichen die Software JAIV zur Verfügung. Diese Software ermöglicht es dem Verantwortlichen, eigene digitale Geschäftsprozesse zu automatisieren, Kundendaten zu verwalten und Marketing-Aktivitäten durchzuführen.

1.2 Zweck der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen im Rahmen der JAIV-Software. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur im Auftrag und nach dokumentierten Weisungen des Verantwortlichen.

§ 2 Art und Umfang der Datenverarbeitung

2.1 Kategorien betroffener Personen

  • Kunden und Interessenten des Verantwortlichen
  • Kontaktpersonen des Verantwortlichen
  • Newsletter-Abonnenten
  • Website-Besucher

2.2 Kategorien personenbezogener Daten

  • Stammdaten (Name, Adresse, E-Mail, Telefon)
  • Vertragsdaten (Bestellungen, Zahlungsinformationen)
  • Kommunikationsdaten (E-Mails, Chat-Verläufe)
  • Nutzungsdaten (Website-Besuche, Klickverhalten)
  • Marketing-Daten (Tags, Segmente, Interessen)

2.3 Art der Verarbeitung

  • Speicherung von Daten in der JAIV-Plattform
  • Versand von E-Mails und Nachrichten
  • Verwaltung von Kontakten und Kundenbeziehungen (CRM)
  • Automatisierung von Marketing-Prozessen
  • Erstellung von Berichten und Analysen
  • Integration mit Drittanbieter-Tools (z.B. Zahlungsdienstleister)

2.4 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen Verantwortlichem und Auftragsverarbeiter. Nach Vertragsende werden die Daten gemäß § 10 dieses Vertrages gelöscht oder zurückgegeben.

§ 3 Pflichten des Auftragsverarbeiters

3.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen. Weisungen können über die JAIV-Software, per E-Mail oder in Textform erteilt werden.

3.2 Rechtmäßigkeit der Weisungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

3.3 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind und nur befugte Personen Zugriff auf die Daten haben.

3.4 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter implementiert und unterhält angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage 1).

§ 4 Unterauftragsverarbeiter

4.1 Genehmigung von Unterauftragsverarbeitern
Der Verantwortliche erteilt seine allgemeine Genehmigung zur Beauftragung der in Anlage 2 aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen mit einer Frist von 30 Tagen im Voraus.

4.2 Widerspruchsrecht
Der Verantwortliche kann innerhalb von 14 Tagen nach Mitteilung Widerspruch gegen einen neuen Unterauftragsverarbeiter einlegen, sofern berechtigte datenschutzrechtliche Gründe vorliegen.

4.3 Pflichten bei Unterauftragsverarbeitung
Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich zu denselben Datenschutzverpflichtungen wie in diesem Vertrag vereinbart.

§ 5 Rechte betroffener Personen

5.1 Unterstützungspflicht
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) durch geeignete technische und organisatorische Maßnahmen.

5.2 Bearbeitungsfristen
Anfragen betroffener Personen werden unverzüglich an den Verantwortlichen weitergeleitet. Der Auftragsverarbeiter stellt die erforderlichen Informationen innerhalb von 5 Werktagen zur Verfügung.

§ 6 Datensicherheit und Meldepflichten

6.1 Datenschutzverletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen Datenschutzverletzungen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme.

6.2 Inhalt der Meldung
Die Meldung enthält mindestens:

  • Art der Verletzung
  • Betroffene Kategorien und Anzahl der Personen
  • Wahrscheinliche Folgen
  • Ergriffene und geplante Maßnahmen

6.3 Zusammenarbeit
Der Auftragsverarbeiter arbeitet bei der Bewältigung der Datenschutzverletzung mit dem Verantwortlichen zusammen und stellt alle erforderlichen Informationen zur Verfügung.

§ 7 Datenschutz-Folgenabschätzung und Konsultation

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und bei der Konsultation mit der Aufsichtsbehörde (Art. 36 DSGVO), soweit dies erforderlich ist.

§ 8 Löschung und Rückgabe von Daten

8.1 Nach Vertragsende
Nach Beendigung des Vertrages löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

8.2 Löschfristen
Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende. Auf Wunsch des Verantwortlichen wird eine Löschbestätigung ausgestellt.

8.3 Exportfunktion
Der Verantwortliche kann seine Daten jederzeit über die Exportfunktion der JAIV-Software herunterladen.

§ 9 Kontroll- und Nachweispflichten

9.1 Nachweispflichten
Der Auftragsverarbeiter weist die Einhaltung der Datenschutzpflichten durch geeignete Zertifizierungen, Audits oder Berichte nach.

9.2 Auskunftsrechte
Der Verantwortliche kann vom Auftragsverarbeiter alle Informationen anfordern, die zur Überprüfung der Datenschutzverpflichtungen erforderlich sind.

9.3 Vor-Ort-Kontrollen
Vor-Ort-Kontrollen sind nach vorheriger Ankündigung (mindestens 14 Tage) während der Geschäftszeiten möglich und müssen verhältnismäßig sein.

§ 10 Haftung und Schadensersatz

10.1 Gesetzliche Haftung
Für die Haftung gilt Art. 82 DSGVO. Der Auftragsverarbeiter haftet für Schäden, die durch eine nicht konforme Verarbeitung entstehen.

10.2 Haftungsbeschränkung
Die Haftung ist auf Vorsatz und grobe Fahrlässigkeit beschränkt, soweit gesetzlich zulässig. Die Haftungshöhe ist auf die Jahresgebühr des JAIV-Abonnements begrenzt.

§ 11 Laufzeit und Kündigung

11.1 Vertragslaufzeit
Dieser AVV tritt mit Beginn der Nutzung von JAIV in Kraft und endet automatisch mit Beendigung des Hauptvertrages.

11.2 Außerordentliche Kündigung
Beide Parteien können diesen Vertrag außerordentlich kündigen, wenn die andere Partei wesentliche Datenschutzpflichten verletzt und diese nicht innerhalb einer angemessenen Frist behebt.

§ 12 Schlussbestimmungen

12.1 Änderungen
Änderungen dieses Vertrages bedürfen der Schriftform. Der Auftragsverarbeiter kann die Anlagen (TOM, Unterauftragsverarbeiter) mit einer Vorankündigung von 30 Tagen aktualisieren.

12.2 Anwendbares Recht
Es gilt das Recht der Vereinigten Arabischen Emirate unter Berücksichtigung der zwingenden Bestimmungen der DSGVO für EU-Kunden.

12.3 Salvatorische Klausel
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Vertragsschluss: Dieser Vertrag wird mit Beginn der Nutzung von JAIV automatisch wirksam. Eine separate Unterzeichnung ist nicht erforderlich. Der Verantwortliche akzeptiert diesen AVV durch die Nutzung der Software.

Anlage 1: Technische und Organisatorische Maßnahmen (TOM)

1. Zutrittskontrolle

  • Hosting in zertifizierten Rechenzentren (ISO 27001)
  • Physische Zugangskontrollen zu Serverräumen
  • Videoüberwachung und Alarmsysteme

2. Zugangskontrolle

  • Sichere Authentifizierung mit E-Mail und Passwort
  • Optional: Zwei-Faktor-Authentifizierung (2FA)
  • Automatische Session-Timeouts
  • Passwortrichtlinien (Mindestlänge, Komplexität)

3. Zugriffskontrolle

  • Rollenbasierte Zugriffsrechte
  • Prinzip der minimalen Rechtevergabe
  • Regelmäßige Überprüfung der Berechtigungen
  • Protokollierung von Zugriffen

4. Trennungskontrolle

  • Mandantenfähige Architektur (Multi-Tenancy)
  • Strikte Datentrennung zwischen Kunden
  • Isolierte Datenbanken pro Mandant

5. Pseudonymisierung und Verschlüsselung

  • SSL/TLS-Verschlüsselung für Datenübertragung (HTTPS)
  • Verschlüsselung von Daten bei der Speicherung (Encryption at Rest)
  • Sichere Passwort-Hashing (bcrypt)

6. Verfügbarkeitskontrolle

  • Regelmäßige automatische Backups (täglich)
  • Redundante Serverinfrastruktur
  • Disaster-Recovery-Plan
  • Monitoring und Alerting-Systeme

7. Belastbarkeit

  • Skalierbare Cloud-Infrastruktur
  • Load-Balancing
  • DDoS-Schutz durch Cloudflare

8. Integrität

  • Versionskontrolle und Change-Management
  • Logging und Audit-Trails
  • Regelmäßige Sicherheitsupdates

9. Verfahren zur regelmäßigen Überprüfung

  • Jährliche Überprüfung der TOM
  • Penetrationstests
  • Security-Audits
  • Mitarbeiterschulungen

Anlage 2: Unterauftragsverarbeiter

Wichtig: Der Verantwortliche wird über Änderungen an dieser Liste mit einer Frist von 30 Tagen informiert.

Unterauftragsverarbeiter Standort Dienstleistung Datenkategorien
HighLevel Inc. (GoHighLevel) USA CRM-Plattform, Software-Infrastruktur (White-Label Basis) Alle in § 2.2 genannten Datenkategorien
Mailgun Technologies Inc. USA E-Mail-Versand und Zustellbarkeit E-Mail-Adressen, Namen, E-Mail-Inhalte
Stripe Inc. USA Zahlungsabwicklung Namen, E-Mail, Zahlungsdaten, Rechnungsadressen
FirstPromoter EU (Rumänien) Affiliate-Management Namen, E-Mail-Adressen, Affiliate-Daten
IONOS SE Deutschland Webhosting, Domain-Management Domain-Daten, technische Logs
Amazon Web Services (AWS) USA / EU (Irland) Cloud-Hosting, Datenspeicherung Alle in § 2.2 genannten Datenkategorien
Cloudflare Inc. USA Content Delivery Network (CDN), DDoS-Schutz IP-Adressen, technische Logs

Datentransfer in Drittländer

Bei Unterauftragsverarbeitern mit Sitz außerhalb der EU/EWR (insbesondere USA) werden die Daten auf Grundlage von:

  • EU-Standardvertragsklauseln (Standard Contractual Clauses - SCC)
  • Angemessenheitsbeschlüssen der EU-Kommission (z.B. EU-US Data Privacy Framework)
  • Zertifizierungen (z.B. Privacy Shield Nachfolger)

übertragen.

⚠️ Hinweis für EU-Kunden: Der Verantwortliche ist für die Rechtmäßigkeit des Datentransfers in Drittländer mitverantwortlich und muss die Angemessenheit des Schutzniveaus bewerten.

Effective Date: November 19, 2025

Preamble

This Data Processing Agreement (DPA) governs the processing of personal data on behalf of the Customer (Controller) by JENNIFER ZITTIER MARKETING – FZCO (Processor) in connection with the use of the JAIV software.

This Agreement fulfills the requirements of Article 28 of the General Data Protection Regulation (GDPR) and supplements the General Terms and Conditions agreed upon between the parties.

§ 1 Subject Matter and Purpose

1.1 Subject Matter
The Processor provides the Controller with the JAIV software. This software enables the Controller to automate their own digital business processes, manage customer data, and conduct marketing activities.

1.2 Purpose of Data Processing
The processing of personal data is carried out exclusively to fulfill the contractually agreed services within the scope of the JAIV software. The Processor processes personal data only on behalf of and according to the documented instructions of the Controller.

§ 2 Type and Scope of Data Processing

2.1 Categories of Data Subjects

  • Customers and prospects of the Controller
  • Contact persons of the Controller
  • Newsletter subscribers
  • Website visitors

2.2 Categories of Personal Data

  • Master data (name, address, email, phone)
  • Contract data (orders, payment information)
  • Communication data (emails, chat histories)
  • Usage data (website visits, click behavior)
  • Marketing data (tags, segments, interests)

2.3 Type of Processing

  • Storage of data in the JAIV platform
  • Sending emails and messages
  • Management of contacts and customer relationships (CRM)
  • Automation of marketing processes
  • Creation of reports and analyses
  • Integration with third-party tools (e.g., payment processors)

2.4 Duration of Processing
Processing takes place for the duration of the contractual relationship between Controller and Processor. After the contract ends, data will be deleted or returned according to § 10 of this Agreement.

§ 3 Processor's Obligations

3.1 Processing Instructions
The Processor processes personal data exclusively within the scope of the Controller's documented instructions. Instructions may be given via the JAIV software, by email, or in text form.

3.2 Legality of Instructions
The Processor immediately informs the Controller if it believes an instruction violates the GDPR or other data protection regulations.

3.3 Confidentiality
The Processor ensures that all persons involved in processing are committed to confidentiality and that only authorized persons have access to the data.

3.4 Technical and Organizational Measures
The Processor implements and maintains appropriate technical and organizational measures in accordance with Art. 32 GDPR (see Annex 1).

§ 4 Sub-processors

4.1 Authorization of Sub-processors
The Controller grants general authorization for the engagement of the sub-processors listed in Annex 2. The Processor informs the Controller of planned changes with 30 days' advance notice.

4.2 Right to Object
The Controller may object to a new sub-processor within 14 days after notification if legitimate data protection concerns exist.

4.3 Obligations Regarding Sub-processing
The Processor contractually obligates sub-processors to the same data protection obligations as agreed in this Agreement.

§ 5 Data Subject Rights

5.1 Support Obligation
The Processor supports the Controller in fulfilling data subject rights (access, rectification, deletion, restriction, data portability, objection) through appropriate technical and organizational measures.

5.2 Processing Deadlines
Requests from data subjects are immediately forwarded to the Controller. The Processor provides the necessary information within 5 business days.

§ 6 Data Security and Notification Obligations

6.1 Data Breaches
The Processor notifies the Controller of data breaches without delay, but no later than 24 hours after becoming aware.

6.2 Content of Notification
The notification includes at minimum:

  • Nature of the breach
  • Categories and approximate number of affected persons
  • Likely consequences
  • Measures taken and planned

6.3 Cooperation
The Processor cooperates with the Controller in addressing the data breach and provides all necessary information.

§ 7 Data Protection Impact Assessment and Consultation

The Processor supports the Controller in conducting a data protection impact assessment (Art. 35 GDPR) and in consultation with the supervisory authority (Art. 36 GDPR), where required.

§ 8 Deletion and Return of Data

8.1 After Contract Termination
After termination of the contract, the Processor deletes or returns all personal data, unless there is a legal retention obligation.

8.2 Deletion Periods
Deletion occurs within 30 days after contract termination. Upon request of the Controller, a deletion confirmation will be issued.

8.3 Export Function
The Controller can download their data at any time via the export function of the JAIV software.

§ 9 Control and Evidence Obligations

9.1 Evidence Obligations
The Processor demonstrates compliance with data protection obligations through appropriate certifications, audits, or reports.

9.2 Information Rights
The Controller may request from the Processor all information necessary to verify compliance with data protection obligations.

9.3 On-site Inspections
On-site inspections are possible after prior notice (at least 14 days) during business hours and must be proportionate.

§ 10 Liability and Damages

10.1 Statutory Liability
Art. 82 GDPR applies to liability. The Processor is liable for damages resulting from non-compliant processing.

10.2 Limitation of Liability
Liability is limited to intent and gross negligence, to the extent legally permissible. The amount of liability is limited to the annual fee of the JAIV subscription.

§ 11 Term and Termination

11.1 Contract Term
This DPA enters into force upon commencement of JAIV use and automatically ends with termination of the main contract.

11.2 Extraordinary Termination
Both parties may terminate this Agreement extraordinarily if the other party violates substantial data protection obligations and fails to remedy them within a reasonable period.

§ 12 Final Provisions

12.1 Amendments
Amendments to this Agreement require written form. The Processor may update the annexes (TOMs, sub-processors) with 30 days' advance notice.

12.2 Applicable Law
The law of the United Arab Emirates applies, taking into account the mandatory provisions of the GDPR for EU customers.

12.3 Severability Clause
If individual provisions are invalid, the validity of the remaining provisions remains unaffected.

Contract Conclusion: This Agreement becomes effective automatically upon commencement of JAIV use. Separate signing is not required. The Controller accepts this DPA by using the software.

Annex 1: Technical and Organizational Measures (TOMs)

1. Access Control to Premises

  • Hosting in certified data centers (ISO 27001)
  • Physical access controls to server rooms
  • Video surveillance and alarm systems

2. Access Control to Systems

  • Secure authentication with email and password
  • Optional: Two-factor authentication (2FA)
  • Automatic session timeouts
  • Password policies (minimum length, complexity)

3. Access Control to Data

  • Role-based access rights
  • Principle of least privilege
  • Regular review of permissions
  • Logging of access

4. Separation Control

  • Multi-tenant architecture
  • Strict data separation between customers
  • Isolated databases per tenant

5. Pseudonymization and Encryption

  • SSL/TLS encryption for data transmission (HTTPS)
  • Encryption of data at rest
  • Secure password hashing (bcrypt)

6. Availability Control

  • Regular automatic backups (daily)
  • Redundant server infrastructure
  • Disaster recovery plan
  • Monitoring and alerting systems

7. Resilience

  • Scalable cloud infrastructure
  • Load balancing
  • DDoS protection through Cloudflare

8. Integrity

  • Version control and change management
  • Logging and audit trails
  • Regular security updates

9. Procedures for Regular Review

  • Annual review of TOMs
  • Penetration testing
  • Security audits
  • Employee training

Annex 2: Sub-processors

Important: The Controller will be informed of changes to this list with 30 days' notice.

Sub-processor Location Service Data Categories
HighLevel Inc. (GoHighLevel) USA CRM Platform, Software Infrastructure (White-Label Basis) All data categories mentioned in § 2.2
Mailgun Technologies Inc. USA Email delivery and deliverability Email addresses, names, email content
Stripe Inc. USA Payment processing Names, email, payment data, billing addresses
FirstPromoter EU (Romania) Affiliate management Names, email addresses, affiliate data
IONOS SE Germany Web hosting, domain management Domain data, technical logs
Amazon Web Services (AWS) USA / EU (Ireland) Cloud hosting, data storage All data categories mentioned in § 2.2
Cloudflare Inc. USA Content Delivery Network (CDN), DDoS protection IP addresses, technical logs

Data Transfer to Third Countries

For sub-processors located outside the EU/EEA (particularly USA), data is transferred based on:

  • EU Standard Contractual Clauses (SCC)
  • Adequacy decisions by the EU Commission (e.g., EU-US Data Privacy Framework)
  • Certifications (e.g., Privacy Shield successor)

⚠️ Notice for EU Customers: The Controller is jointly responsible for the legality of data transfer to third countries and must assess the adequacy of the level of protection.