Auftragsverarbeitungsvertrag (AVV / DPA)

Nicht hier definierte Begriffe haben die Bedeutung aus der DSGVO bzw. dem einschlägigen anwendbaren Recht.

• „Personenbezogene Daten" — alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die Anvil im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 1 DSGVO).
• „Verantwortlichen-Daten" — personenbezogene Daten, die der Verantwortliche bzw. seine Nutzer in den Anvil-Mandanten hochladen oder dort erzeugen.
• „Subunternehmer / Unterauftragsverarbeiter" — Dritte, die Anvil zur Verarbeitung der Verantwortlichen-Daten einsetzt (Art. 28 Abs. 4 DSGVO).
• „Aufsichtsbehörde" — eine nach anwendbarem Datenschutzrecht zuständige Behörde (z. B. BfDI, Landesdatenschutzbeauftragte, ICO, PCPD).
• „Standardvertragsklauseln / SCC" — die Klauseln der EU-Kommission 2021/914 (Modul 2: Verantwortlicher-zu-Auftragsverarbeiter) sowie das UK IDTA.

• Der Verantwortliche legt Zwecke und Mittel der Verarbeitung seiner Daten fest und ist für die Rechtmäßigkeit verantwortlich.
• Anvil handelt als Auftragsverarbeiter und verarbeitet Verantwortlichen-Daten nur auf dokumentierte Weisung.
• Für Konto-Administrationsdaten (Abrechnung, Login, Support-Tickets der Admins) handelt Anvil als eigenständiger Verantwortlicher gemäß Datenschutzerklärung.
• Dieser AVV gilt für die Laufzeit des Abonnements zzgl. Abwicklungszeitraum.

Die Weisungen bestehen aus (a) der Vereinbarung, (b) diesem AVV, (c) der Nutzung der Service-Oberfläche und -API sowie (d) schriftlichen Weisungen an support@anvilhk.com.

Anvil informiert den Verantwortlichen, wenn Weisungen gegen anwendbares Datenschutzrecht verstoßen, und kann die Verarbeitung bis zur Klärung pausieren (Art. 28 Abs. 3 lit. h DSGVO).

Anvil wird (a) Verantwortlichen-Daten nicht verkaufen, (b) nicht für Cross-Context-Werbezwecke weitergeben, (c) außerhalb der Geschäftsbeziehung weder aufbewahren noch nutzen und (d) nicht mit Daten aus anderen Quellen kombinieren, außer zur Erbringung des Dienstes.

Vollständig in Anlage I. Zusammengefasst:

• Betroffene Personen: Nutzer des Verantwortlichen, seine Endkunden und die Geschäfts-Prospects, die in die Plattform geladen werden.
• Datenkategorien: geschäftliche Kontaktdaten (Name, work email, Position, Unternehmen), CRM-Aktivitätsdaten, Kommunikationsinhalte (E-Mails, Chat, Gesprächstranskripte), Plattform-Logs sowie KI-Ein- und Ausgaben.
• Besondere Kategorien (Art. 9 DSGVO): nicht verarbeitet, es sei denn, der Verantwortliche lädt entgegen diesem AVV solche Daten hoch; in diesem Fall stellt er Anvil frei.

Der Verantwortliche erteilt Anvil eine allgemeine Genehmigung nach Art. 28 Abs. 2 Satz 2 DSGVO, Subunternehmer einzusetzen. Die aktuelle Liste ist unter /de/legal/subprocessors veröffentlicht und Bestandteil dieses AVV.

Anvil:

• Verpflichtet jeden Subunternehmer zu datenschutzrechtlichen Pflichten, die nicht geringer sind als in diesem AVV.
• Haftet dem Verantwortlichen gegenüber vollumfänglich für die Leistungen seiner Subunternehmer (Art. 28 Abs. 4 DSGVO).
• Informiert mindestens 30 Tage im Voraus über die Subprozessor-Seite (auf Wunsch per E-Mail) über Hinzufügung oder Austausch eines Subunternehmers.
• Während dieser Frist kann der Verantwortliche aus berechtigten Datenschutzgründen Widerspruch per E-Mail an 738888@proton.me einlegen. Kann Anvil dem Widerspruch nicht zumutbar nachkommen, kann der Verantwortliche den betroffenen Leistungsteil kündigen und eine anteilige Erstattung der vorausgezahlten Gebühren erhalten.

Verantwortlichen-Daten werden standardmäßig in Hong Kong SAR gehostet, mit Edge-Caching im globalen Netzwerk von Cloudflare. Bestimmte Subunternehmer (z. B. OpenAI, Stripe) verarbeiten Daten in den USA oder der EU.

• Für Übermittlungen aus dem EWR / UK / der Schweiz stützt sich Anvil auf die Standardvertragsklauseln (Modul 2) sowie, soweit erforderlich, das UK IDTA und den Schweizer Zusatz. Die SCC werden durch Bezugnahme in diesen AVV aufgenommen.
• Für Übermittlungen aus dem chinesischen Festland (PIPL) wirken Anvil und der Verantwortliche am CAC-genehmigten Standardvertrag, der Sicherheitsbewertung oder der Zertifizierung — je nach Volumen — mit.
• Anvil führt eine Transferfolgenabschätzung (TIA) pro Subunternehmer durch und setzt zusätzliche Schutzmaßnahmen (Verschlüsselung in Übertragung und Ruhezustand, Schlüsseltrennung, Zugriffskontrollen) nach Schrems II-Rechtsprechung um.
• Der Verantwortliche kann eine Kopie der unterzeichneten SCC per E-Mail anfordern.

Anvil setzt die in Anlage II aufgeführten technischen und organisatorischen Maßnahmen (TOM) um, die den Anforderungen von Art. 32 DSGVO entsprechen. Sie werden jährlich überprüft und können aktualisiert werden, sofern dadurch das Sicherheitsniveau nicht wesentlich reduziert wird.

Anvil stellt Self-Service-Tools in der Admin-Konsole bereit, um dem Verantwortlichen die Beantwortung von Anträgen auf Auskunft, Berichtigung, Löschung, Übertragbarkeit oder Einschränkung zu ermöglichen (Art. 15–22 DSGVO). Wo der Antrag nicht im Produkt erfüllbar ist, unterstützt Anvil innerhalb von 5 Werktagen nach schriftlicher Anfrage an 738888@proton.me.

Direkt an Anvil gerichtete Betroffenenanträge leitet Anvil an den Verantwortlichen weiter, ohne selbst inhaltlich zu antworten (außer Empfangsbestätigung und Verweis).

• Anvil benachrichtigt den Verantwortlichen ohne unangemessene Verzögerung, jedenfalls innerhalb von 48 Stunden nach Feststellung einer Verletzung des Schutzes der Verantwortlichen-Daten (Art. 33 Abs. 2 DSGVO).
• Die Meldung enthält, soweit bekannt: Art der Verletzung, Kategorien und ungefähre Anzahl betroffener Personen und Datensätze, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen, Kontaktstelle.
• Meldungen gehen an den in der Admin-Konsole hinterlegten Sicherheitskontakt (hilfsweise die Abrechnungs-E-Mail). Die Pflege dieser Adresse obliegt dem Verantwortlichen.
• Verletzungen in Anvils eigenen Controller-Systemen werden gemäß Datenschutzerklärung und anwendbarem Recht offengelegt.

Anvil stellt dem Verantwortlichen die zur Nachweisführung nach Art. 28 DSGVO erforderlichen Informationen zur Verfügung:

• SOC 2 Type II-Bericht (geplant Q4 2026) unter NDA auf Anfrage.
• Jährliche Zusammenfassung des Penetrationstests auf Anfrage.
• Ausgefüllte CAIQ- / SIG-Lite-Fragebögen auf Anfrage.

Reichen diese Informationen nicht aus, kann der Verantwortliche höchstens einmal pro 12 Monate und mit 30-tägiger schriftlicher Vorankündigung ein Audit auf eigene Kosten während der Geschäftszeiten durchführen, vorbehaltlich Vertraulichkeit. Audits dürfen Anvils Betrieb oder die Daten anderer Kunden nicht unangemessen beeinträchtigen. Auditrechte einer Aufsichtsbehörde bleiben unberührt.

• Nach Beendigung stehen dem Verantwortlichen 30 Tage zur Exportierung der Verantwortlichen-Daten über das Produkt oder die API zur Verfügung.
• Nach 30 Tagen löscht oder anonymisiert Anvil die Daten innerhalb weiterer 60 Tage, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO, laufende Rechtsstreitigkeiten) entgegenstehen.
• Backups mit Verantwortlichen-Daten werden im Rahmen der üblichen Rotation (≤ 35 Tage) überschrieben.
• Löschzertifikat auf Anfrage.

• Die Haftungsobergrenze der Vereinbarung gilt auch für Ansprüche aus diesem AVV.
• Bei Kollision zwischen Vereinbarung und AVV in Datenschutzfragen hat dieser AVV Vorrang. Bei Kollision mit den SCC haben die SCC Vorrang.
• Dieser AVV tritt mit der Vereinbarung in Kraft und endet mit ihr, vorbehaltlich Ziffer 11.

A. Liste der Parteien

• Verantwortlicher: der im Anvil-Abonnement genannte Kunde.
• Auftragsverarbeiter: Hong Kong Anvil Ltd., Hong Kong SAR. Kontakt: 738888@proton.me.

B. Beschreibung der Verarbeitung

• Gegenstand: Bereitstellung des Anvil-SaaS für Lead-Generierung, CRM, Kontaktaufnahme und Analytics.
• Dauer: Laufzeit des aktiven Abonnements zzgl. 30-Tage-Exportfenster und 60-Tage-Löschfenster.
• Art und Zweck: Hosting, Speicherung, Übertragung, Analyse, Anreicherung, KI-Inferenz, E-Mail- und Messaging-Zustellung sowie Analytics der Lead- und CRM-Daten.
• Kategorien betroffener Personen: Nutzer des Verantwortlichen, seine Endkunden und B2B-Prospects.
• Kategorien personenbezogener Daten: Name, work email, work phone, Jobtitel, Arbeitgeber, LinkedIn/Social-URL, Unternehmensgröße und Branche; CRM-Aktivitätslogs; E-Mail- und Nachrichteninhalte; Anrufaufzeichnungen und -transkripte (bei Nutzung der Voice-Funktion); KI-Ein- und Ausgaben; Plattform-Audit-Logs.
• Häufigkeit: fortlaufend.
• Aufbewahrung: gemäß Datenschutzerklärung und Ziffer 11 oben.

C. Zuständige Aufsichtsbehörde

Bei Niederlassung des Verantwortlichen im EWR: die federführende Aufsichtsbehörde; in Deutschland die jeweils zuständige Landesdatenschutzbehörde oder der BfDI; im UK die ICO; in Hongkong die PCPD.

• Verschlüsselung: TLS 1.3 in Übertragung; AES-256-GCM ruhend für Datenbank und Objektspeicher; Envelope-Encryption für Secrets in hardwaregestütztem KMS.
• Identität & Zugriff: SSO (SAML/OIDC) für Enterprise; MFA für Admin; RBAC mit Least-Privilege-Standard; Produktionszugriff über kurzlebige Credentials und Freigabe.
• Netzwerk: Cloudflare WAF, DDoS-Schutz, Rate-Limiting, Bot-Management; private Netzwerkgrenzen; Zero-Trust-Produktionszugriff.
• Anwendungssicherheit: SAST, Dependency-, Secret- und Container-Scanning in CI; jährlicher externer Penetrationstest; Responsible-Disclosure-Programm.
• Monitoring: zentrales, manipulationsgeschütztes Logging; Anomalie- und Intrusion-Detection; Sentry; 24/7-Alerts auf sicherheitskritische Signale.
• Änderungsmanagement: Peer-Code-Review; automatisierte Deployments mit Rollback; Trennung von Prod- und Dev-Umgebung.
• Backup & Recovery: tägliche verschlüsselte Vollsicherung, stündliche Inkremente; geografisch getrennte Backup-Speicherung; quartalsweise Restore-Tests; RPO ≤ 1 h, RTO ≤ 4 h.
• Personen: Zuverlässigkeitsprüfungen, Vertraulichkeitsverpflichtung, jährliche Security-Awareness, Joiner/Mover/Leaver-Prozess.
• Physisch: Rechenzentrumssicherheit an die Hosting-Anbieter delegiert (siehe Anlage III); gestützt auf deren SOC 2 / ISO 27001.
• Incident Response: dokumentiertes Runbook; Schwerestufen; Post-Mortem mit veröffentlichungsfähiger RCA für wesentliche Vorfälle.
• Pseudonymisierung: Kundenkennungen statt Produktions-E-Mail in Logs und Analytics, soweit praktikabel.
• Mandantentrennung: strikte Trennung auf Row-Security- und Anwendungsautorisierungsebene; Cross-Tenant-Tests bei jedem Deploy.

Eine detailliertere Darstellung veröffentlichen wir auf der Sicherheits-Seite.

Die aktuelle Liste der Subunternehmer wird unter /de/legal/subprocessors gepflegt. Sie ist Bestandteil dieses AVV; Änderungen werden mindestens 30 Tage vor Wirksamwerden angekündigt.

Die Zustimmung zu diesem AVV erfolgt durch den Abschluss des zugrunde liegenden Anvil-Abonnements durch den Verantwortlichen. Eine manuell gegengezeichnete Version erhalten Sie per E-Mail an 738888@proton.me mit Angabe Ihres Firmennamens, Ihrer Adresse, des Unterzeichnenden sowie der DUNS-/USt-ID.

Auftragsverarbeiter: Hong Kong Anvil Ltd.
Sitz: Hong Kong SAR
Zeichnungsberechtigter: Director
Kontakt: 738888@proton.me · +852 4748 1911