← directmailing.ai

Auftragsverarbeitungs-Vereinbarung (AVV)

Version 1.0.0 · Stand: 2026-04-26

1. Vertragsparteien

Auftraggeber („Verantwortlicher“): Der bei DirectMailing.ai registrierte Nutzer.

Auftragnehmer („Auftragsverarbeiter“):
Accelerate AI GmbH
Königstraße 10C, 70173 Stuttgart
Amtsgericht Stuttgart, HRB 801536
vertreten durch den Geschäftsführer Ismajl Pukaj
E-Mail: info@accelerate-ai.de

2. Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist die Bereitstellung des SaaS-Tools DirectMailing.ai zur Erstellung personalisierter B2B-Direktmailings. Der Auftragsverarbeiter verarbeitet im Rahmen dessen personenbezogene Daten der vom Verantwortlichen hochgeladenen Empfänger.

Die Vereinbarung läuft solange das Vertragsverhältnis zwischen den Parteien besteht.

3. Art und Zweck der Verarbeitung

  • Speicherung und Anzeige der vom Auftraggeber bereitgestellten Lead-Daten (Name, Position, Firma, Adresse, E-Mail, Telefon, Website)
  • Web-Scraping der jeweiligen Lead-Websites zur Recherche von Geschäfts-Signalen
  • Generierung personalisierter Brieftexte mittels KI-Sprachmodellen
  • Speicherung von Kampagnen-Konfigurationen, Briefentwürfen und Sperrlisten
  • Tracking von QR-Code-Scans (anonymisierte IP, Lead-Kennung, Zeitstempel)

4. Art der personenbezogenen Daten

  • Geschäftliche Kontaktdaten (Name, Funktion, Firma, Anschrift, E-Mail, Telefon)
  • Aus öffentlichen Quellen recherchierte Geschäfts-Informationen
  • Anonymisierte technische Daten beim QR-Tracking

5. Kategorien betroffener Personen

Geschäftliche Kontakte des Auftraggebers (B2B-Empfänger der Direktmailings).

6. Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen. Sollte der Auftragsverarbeiter der Auffassung sein, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich (Art. 28 Abs. 3 lit. h DSGVO).
  • Verpflichtung der Mitarbeiter auf Vertraulichkeit
  • Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO; Details siehe Anlage 1 (Verschlüsselung in Transit und at Rest, Row-Level-Security, IP-Anonymisierung im Tracking, Zugriffskontrolle, Backups, regelmäßige Audits)
  • Unterstützung des Verantwortlichen bei Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Datenportabilität, Widerspruch)
  • Unterstützung des Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32-36 DSGVO, insbesondere bei Datenschutz-Folgenabschätzungen (DSFA) und der vorherigen Konsultation der Aufsichtsbehörde (Art. 28 Abs. 3 lit. f DSGVO)
  • Meldung von Datenschutzverletzungen an den Verantwortlichen unverzüglich, spätestens binnen 72 Stunden nach Kenntniserlangung
  • Löschung oder Rückgabe der Daten nach Vertragsende gemäß § 9

7. Kontroll- und Auditrechte des Verantwortlichen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen von diesem beauftragten Prüfer (Art. 28 Abs. 3 lit. h DSGVO).

Audits werden mit angemessener Vorankündigung (mindestens 14 Tage), während üblicher Geschäftszeiten und ohne unzumutbare Beeinträchtigung des Betriebs durchgeführt. Soweit zumutbar, kann der Auftragsverarbeiter Nachweise auch durch aktuelle Zertifikate, Testate eines unabhängigen Prüfers oder vergleichbare Dokumentation erbringen.

8. Subunternehmer (Sub-Auftragsverarbeiter)

Die aktuelle Liste der Subprocessoren findest du unter /subdienstleister.

Der Verantwortliche kann der Beauftragung neuer Subprocessoren binnen 30 Tagen widersprechen.

9. Datenstandort und Drittlandtransfer

Die Datenbank-, Auth- und Storage-Infrastruktur wird auf Supabase EU-Region (Frankfurt) betrieben. KI-Anbieter (OpenRouter) und Web-Scraping-Anbieter (Firecrawl) haben Sitz in den USA; die Datenübermittlung erfolgt auf Basis der Standardvertragsklauseln (SCCs) der EU-Kommission.

10. Rechte des Verantwortlichen, Datenexport und Löschung

Der Verantwortliche kann jederzeit auf schriftliche Anfrage (z. B. per E-Mail an info@accelerate-ai.de) folgende Rechte ausüben:

  • Export aller zu seinem Konto gespeicherten Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON)
  • Vollständige Löschung des Kontos und aller damit verknüpften personenbezogenen Daten
  • Auskunft über Verarbeitungsumfang und eingesetzte Subprocessoren

Anfragen werden unverzüglich, spätestens jedoch binnen 30 Tagen nach Eingang bearbeitet (Art. 12 Abs. 3 DSGVO). Ausgenommen von der Löschung sind Daten, für die gesetzliche Aufbewahrungspflichten bestehen (z. B. handels- und steuerrechtliche Belege gemäß § 257 HGB, § 147 AO); diese werden für die Dauer der Aufbewahrungsfrist gesperrt und anschließend gelöscht.

11. Haftung

Es gilt Art. 82 DSGVO. Der Auftragsverarbeiter haftet nur für Schäden, die durch eine ihm zurechenbare Verletzung dieser Vereinbarung verursacht wurden.

12. Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand für alle Streitigkeiten ist Stuttgart, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist. Sollte eine Klausel unwirksam sein, bleibt die übrige Vereinbarung wirksam.