AUFTRAGSVERARBEITUNGSVERTRAG (AVV)

gemäß Art. 28 DSGVO

zwischen

NO PARADE (Refocusly)

Marvin Eckert

Ankerberg 5

76344 Eggenstein-Leopoldshafen, Deutschland

E-Mail: support@refocusly.com

– nachfolgend „Auftragsverarbeiter“ –

und dem Kunden (gemäß Vertrag)

– nachfolgend „Verantwortlicher“ –

PRÄAMBEL

(1) Der Verantwortliche nutzt die Plattformen Refocusly und/oder Crushler (nachfolgend „Plattform„).

(2) NO PARADE verarbeitet als Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

(3) Dieser AVV ist Bestandteil des Nutzungsvertrags und wird mit Vertragsschluss wirksam.

§ 1 GEGENSTAND UND DAUER

1.1 Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der in Anlage A festgelegten Zwecke und Kategorien.

1.2 Dauer

Dieser AVV gilt für die Dauer des Nutzungsvertrags und endet mit dessen Beendigung.

§ 2 ART UND ZWECK DER VERARBEITUNG

Art der Verarbeitung:

• Erhebung, Speicherung, Verwendung, Übermittlung, Löschung personenbezogener Daten

Zweck der Verarbeitung:

• Bereitstellung der Plattform (CRM, E-Mail-Marketing, Automatisierung, Content-Erstellung)
• Detaillierte Beschreibung siehe Anlage A

§ 3 KATEGORIEN BETROFFENER PERSONEN UND DATEN

Siehe Anlage A (Beschreibung der Verarbeitung).

§ 4 PFLICHTEN DES AUFTRAGSVERARBEITERS

4.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen.

4.2 Vertraulichkeit

Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet.

4.3 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft die in Anlage B aufgeführten Maßnahmen.

4.4 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt seine generelle Genehmigung zur Beauftragung von Unterauftragsverarbeitern.

(2) Die aktuell eingesetzten Unterauftragsverarbeiter sind in Anlage C aufgeführt.

(3) Änderungen werden dem Verantwortlichen 14 Tage im Voraus per E-Mail mitgeteilt.

(4) Der Verantwortliche kann innerhalb von 14 Tagen Widerspruch einlegen.

4.5 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, etc.).

4.6 Meldung von Datenschutzverletzungen

Datenschutzverletzungen werden dem Verantwortlichen innerhalb von 48 Stunden gemeldet.

4.7 Löschung und Rückgabe von Daten

Nach Vertragsende werden Daten gelöscht oder auf Wunsch zurückgegeben (innerhalb von 30 Tagen).

4.8 Kontrollrechte

Der Verantwortliche kann Inspektionen durchführen (mit 14 Tagen Vorlauf).

§ 5 PFLICHTEN DES VERANTWORTLICHEN

5.1 Rechtmäßigkeit der Verarbeitung

Der Verantwortliche ist allein verantwortlich für:

• Die Rechtmäßigkeit der Datenverarbeitung
• Die Einhaltung der Informationspflichten gegenüber betroffenen Personen
• Die Einholung erforderlicher Einwilligungen

5.2 Besondere Kategorien personenbezogener Daten

Wichtig: Die Plattform ist nicht primär für die Verarbeitung von Gesundheitsdaten konzipiert. Sofern der Verantwortliche dennoch solche Daten verarbeitet (z.B. Heilpraktiker, Therapeuten), geschieht dies auf eigene Verantwortung und Gefahr.

Der Verantwortliche muss sicherstellen, dass:

• Ausdrückliche Einwilligungen vorliegen (Art. 9 Abs. 2 lit. a DSGVO)
• Zusätzliche technische und organisatorische Maßnahmen getroffen werden
• Berufsrechtliche Vorgaben (z.B. Schweigepflicht) eingehalten werden

§ 6 HAFTUNG

6.1 Haftung nach DSGVO

Der Auftragsverarbeiter haftet gemäß Art. 82 DSGVO nur für Schäden, die durch Verletzung seiner spezifischen Pflichten als Auftragsverarbeiter entstehen.

6.2 Haftungsbeschränkung

Im Übrigen gelten die Haftungsregelungen der AGB (https://refocusly.com/de/agb/).

§ 7 DRITTLANDÜBERMITTLUNG

7.1 Übermittlung in die USA

Die Verarbeitung erfolgt teilweise in den USA (GoHighLevel, MyMarky, weitere Unterauftragsverarbeiter).

7.2 Rechtsgrundlage

Die Übermittlung erfolgt auf Grundlage von:

• Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
• Zusätzlichen technischen und organisatorischen Maßnahmen

7.3 Unterauftragsverarbeiter in Drittländern

Siehe Anlage C (Unterauftragsverarbeiter).

§ 8 SCHLUSSBESTIMMUNGEN

8.1 Änderungen

Änderungen des AVV bedürfen der Schriftform. Änderungen der Anlagen (insbesondere Anlage C) werden gemäß § 4.4 mitgeteilt.

8.2 Salvatorische Klausel

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

8.3 Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland.

ANLAGEN

Dieser AVV umfasst folgende Anlagen:

• Anlage A: Beschreibung der Verarbeitung
• Anlage B: Technische und organisatorische Maßnahmen (TOM)
• Anlage C: Unterauftragsverarbeiter

Stand: Februar 2026

NO PARADE (REFOCUSLY)

Marvin Eckert

Ankerberg 5

76344 Eggenstein-Leopoldshafen, Deutschland

E-Mail: support@refocusly.com

Website: https://refocusly.com/

ANLAGE A: BESCHREIBUNG DER VERARBEITUNG

1. GEGENSTAND UND DAUER

Gegenstand: Verarbeitung personenbezogener Daten im Rahmen der Plattformen Refocusly und Crushler.

Dauer: Für die Dauer des Nutzungsvertrags.

2. ZWECK DER VERARBEITUNG

Refocusly:

• CRM und Kontaktverwaltung
• E-Mail-Marketing, SMS, WhatsApp
• Automatisierung von Marketing- und Vertriebsprozessen
• Funnel-Builder, Landing Pages, Websites
• Terminverwaltung, Kalenderintegration
• Telefonie, Rechnungsstellung, Reporting

Crushler:

• KI-gestützte Social Media Content-Erstellung
• Content-Planung und -Verwaltung
• Social Media Posting und Scheduling

3. KATEGORIEN BETROFFENER PERSONEN

• Kunden des Verantwortlichen (Endkunden)
• Interessenten und Leads
• Geschäftspartner
• Mitarbeiter des Verantwortlichen (sofern angelegt)
• Website-Besucher
• Social Media Follower (bei Crushler)

4. KATEGORIEN PERSONENBEZOGENER DATEN

Stammdaten:

• Name, Unternehmen, Adresse, E-Mail, Telefon, Geburtsdatum, Geschlecht

Kommunikationsdaten:

• E-Mails, SMS, WhatsApp, Chat-Verläufe, Gesprächsnotizen

Vertragsdaten:

• Vertragsdetails, Angebote, Rechnungen, Zahlungsinformationen

Nutzungsdaten:

• IP-Adresse, Browser, Betriebssystem, Zugriffszeitpunkte, Klickverhalten

Marketing- und Verhaltensdaten:

• Öffnungs- und Klickraten, Website-Besuche, Lead-Scores, Pipeline-Status

Besondere Kategorien (Art. 9 DSGVO):

Hinweis: Die Plattform ist nicht primär für Gesundheitsdaten konzipiert. Sofern der Verantwortliche dennoch solche Daten verarbeitet (z.B. Heilpraktiker, Therapeuten), geschieht dies auf eigene Verantwortung.

Mögliche besondere Kategorien:

• Gesundheitsdaten (nur bei ausdrücklicher Nutzung durch den Verantwortlichen)

Verantwortung: Der Verantwortliche muss die erforderlichen Rechtsgrundlagen (insbesondere ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO) sicherstellen.

5. ORT DER VERARBEITUNG

Primäre Serverstandorte:

• USA (GoHighLevel, MyMarky)
• Europa (AWS, Google Cloud, Azure)

Rechtsgrundlage für Drittlandübermittlung:

• Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO

ANLAGE B: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM)

1. ZUTRITTSKONTROLLE

• Physische Sicherung der Rechenzentren durch Drittanbieter
• Zutrittskontrollen, Videoüberwachung, biometrische Zugangskontrollen

2. ZUGANGSKONTROLLE

• Individuelle Benutzerkonten mit Passwortschutz
• Zwei-Faktor-Authentifizierung (2FA)
• Automatische Abmeldung bei Inaktivität

3. ZUGRIFFSKONTROLLE

• Rollenbasierte Zugriffskontrolle (RBAC)
• Prinzip der geringsten Rechte (Least Privilege)
• Protokollierung von Zugriffen

4. WEITERGABEKONTROLLE

• Verschlüsselte Datenübertragung (TLS 1.2+)
• Verschlüsselte Backups
• Sichere APIs mit Authentifizierung

5. EINGABEKONTROLLE

• Protokollierung von Änderungen (Audit Logs)
• Zeitstempel und Zuordnung zu Benutzerkonten
• Aufbewahrung der Protokolle für mindestens 90 Tage

6. AUFTRAGSKONTROLLE

• AVV mit allen Kunden
• Dokumentierte Weisungen
• Schulung der Mitarbeiter

7. VERFÜGBARKEITSKONTROLLE

• Regelmäßige automatisierte Backups
• Redundante Speicherung an geografisch getrennten Standorten
• Disaster-Recovery-Plan
• 99,9% Uptime SLA

8. TRENNUNGSKONTROLLE

• Logische Trennung durch Multi-Tenant-Architektur
• Separate Datenbanken oder Schemas pro Kunde
• Verschlüsselung mit kundenspezifischen Schlüsseln

9. DATENSCHUTZ-MANAGEMENT

• Datenschutzverantwortlicher
• Regelmäßige Schulungen
• Datenschutz-Folgenabschätzungen (DPIA)
• Verzeichnis von Verarbeitungstätigkeiten

10. INCIDENT RESPONSE

• Incident-Response-Plan
• Meldung von Datenschutzverletzungen innerhalb von 48 Stunden
• Forensische Analyse bei schwerwiegenden Vorfällen

11. VERSCHLÜSSELUNG

• TLS 1.2+ für Datenübertragung
• AES-256 für Daten in Ruhe
• Verschlüsselte Backups
• Sichere Schlüsselverwaltung

12. REGELMÄSSIGE ÜBERPRÜFUNG

• Penetrationstests und Sicherheitsaudits (mindestens jährlich)
• Schwachstellenscans und Patch-Management
• Anpassung an den Stand der Technik

ANLAGE C: UNTERAUFTRAGSVERARBEITER

Wichtig: Diese Liste wird regelmäßig aktualisiert. Die aktuelle Version ist verfügbar unter:

**https://refocusly.com/de/avv**

1. TECHNISCHE INFRASTRUKTUR

2. CLOUD-DIENSTE

3. ZAHLUNGSABWICKLUNG

4. KI-DIENSTE

5. KOMMUNIKATION

6. AUTOMATISIERUNG

7. SOCIAL MEDIA