Data Processing Agreement (DPA / AVV)

gemäß Art. 28 DSGVO · Stand: 2026-05-01

Zwischen Kunde („Verantwortlicher" / Data Controller) und Vagabond Consulting LLC (Wyoming, USA, „Auftragsverarbeiter" / Data Processor) wird folgender DPA abgeschlossen, sobald der Kunde den Dienst kostenpflichtig nutzt. Dieser Text ist die Standardversion — eine personalisierte, unterschriftsfertige Version erhältst du auf Anfrage über hello@vagabond-consulting.com.

1. Gegenstand

Verarbeitung personenbezogener Daten der Endkunden des Verantwortlichen (E-Mail-Adressen, Bestellanfragen, Lieferadressen) im Rahmen des SaaS-Dienstes „WISMO Bot".

2. Art und Zweck

Automatisierte Klassifizierung eingehender Kundenmails, Abruf von Bestellstatus-Daten aus PlentyOne (read-only), Generierung und Versand von Antwort-Mails, Audit-Logging.

3. Datenkategorien

• Kontaktdaten (E-Mail-Adresse, ggf. Name)
• Bestellinformationen (Bestellnummer, Status, Lieferadresse, Tracking)
• Kommunikationsinhalte (Mailtexte)

4. Betroffene Personen

Endkunden des Verantwortlichen, die per E-Mail eine Anfrage an den Verantwortlichen senden.

5. Drittland-Übermittlung

Vagabond Consulting LLC ist ein Unternehmen mit Sitz in Wyoming, USA. Die operative Datenverarbeitung findet jedoch vollständig auf Servern in der Bundesrepublik Deutschland statt. Übermittlung in die USA findet nur über die unten genannten Subprocessors auf Basis von Standardvertragsklauseln (SCCs) bzw. dem EU-US Data Privacy Framework statt.

6. Technische und organisatorische Maßnahmen (TOM)

• Server-Standort: Deutschland (EU)
• Verschlüsselung: TLS 1.3 in transit, Fernet (AES-128) für sensible Felder at rest
• Multi-Tenant-Isolation: PostgreSQL Row-Level-Security (FORCE ROW LEVEL SECURITY)
• Zugriffsbeschränkung Plenty-API: read-only auf HTTP-Layer technisch erzwungen
• Audit-Trail: SHA-256 Hash-Kette, append-only via DB-Trigger
• Backups: täglich, verschlüsselt, 30 Tage Aufbewahrung
• Zugriff: nur authentifizierte Mitarbeiter mit Need-to-Know-Prinzip

7. Subprocessors

Folgende Unter-Auftragsverarbeiter werden eingesetzt:

• Ollama, Inc. (USA, SCC + Data Privacy Framework) — KI-Inference
• Stripe Payments Europe Ltd. (Irland, EU) — Zahlungsabwicklung
• PayPal (Europe) S.à r.l. (Luxemburg, EU) — Zahlungsabwicklung

Änderungen werden 14 Tage vorab angekündigt; der Verantwortliche kann widersprechen.

8. Rechte des Verantwortlichen

• Auskunft, Einsicht, Audit (mit Vorankündigung 14 Tage)
• Weisungsrecht für die Verarbeitung
• Löschung/Rückgabe der Daten nach Vertragsende (binnen 30 Tagen)

9. Pflichten des Auftragsverarbeiters

• Verarbeitung nur nach Weisung des Verantwortlichen
• Vertraulichkeitsverpflichtung der Mitarbeiter
• Unterstützung bei Betroffenenanfragen
• Meldung von Datenpannen binnen 72 Stunden

10. Vertragsdauer

Dieser DPA läuft solange wie der Hauptvertrag (Nutzungsvertrag des Dienstes). Nach Beendigung: Daten werden binnen 30 Tagen gelöscht oder zurückgegeben (auf Wahl des Verantwortlichen).

Personalisierte Version: Schick uns eine Mail an hello@vagabond-consulting.com, wir senden eine auf dich zugeschnittene, unterschriftsfertige PDF-Version zurück.