servus.
Zurück zur Startseite

Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag (AVV) regelt, wie Servus personenbezogene Daten im Auftrag seiner Kunden verarbeitet, und ist Bestandteil der Vereinbarung zwischen uns.

Zuletzt aktualisiert 15. Juni 2026

Dies ist ein Basisdokument, das wir aus Gründen der Transparenz bereitstellen — es stellt keine Rechtsberatung dar. Bitte lass es von qualifizierten Jurist:innen prüfen, bevor du dich darauf verlässt.
Dies ist eine zur Vereinfachung bereitgestellte Übersetzung. Maßgeblich ist die englische Fassung.

Rollen der Parteien

Für personenbezogene Daten, die ein Kunde an die Servus-Plattform übermittelt oder über sie verarbeitet, ist der Kunde der Verantwortliche und die Servus Messaging GmbH der Auftragsverarbeiter, der auf dokumentierte Weisung des Kunden gemäß Art. 28 DSGVO handelt. Ist der Kunde selbst Auftragsverarbeiter für einen Dritten, handelt Servus als Unterauftragsverarbeiter.

Servus verarbeitet personenbezogene Kundendaten ausschließlich zur Erbringung des Dienstes, nach Weisung des Kunden und soweit das Recht der EU oder eines Mitgliedstaats es verlangt; in letzterem Fall informiert Servus den Kunden, sofern dies nicht untersagt ist.

Gegenstand, Art, Zweck und Dauer

Gegenstand der Verarbeitung ist die Bereitstellung von Omnichannel-Messaging-, Automatisierungs- und Analysediensten. Art und Zweck sind das Weiterleiten, Zustellen, Empfangen, Speichern und Auswerten von Nachrichten und Kontaktdaten über WhatsApp, SMS, E-Mail und Push, wie vom Kunden konfiguriert.

Die Verarbeitung dauert für die Laufzeit des Kundenabonnements und bis zur Löschung oder Rückgabe der Daten gemäß den nachstehenden Bestimmungen.

Datenkategorien und betroffene Personen

Die verarbeiteten personenbezogenen Daten und die Kategorien betroffener Personen werden vom Kunden bestimmt und kontrolliert. Typischerweise umfassen sie:

  • Betroffene Personen — die Kontakte, Empfänger, Leads und Endnutzer des Kunden sowie das eigene Personal des Kunden, das das Konto betreibt.
  • Datenkategorien — Kennungen und Kontaktdaten (Namen, Telefonnummern, E-Mail-Adressen), Nachrichteninhalte, Zustell- und Interaktions-Metadaten sowie weitere vom Kunden gespeicherte Kontaktmerkmale.
  • Besondere Kategorien — der Kunde darf keine besonderen Kategorien oder sensible personenbezogene Daten übermitteln, sofern er nicht mit Servus schriftlich geeignete Garantien vereinbart hat.

Pflichten des Auftragsverarbeiters

Gemäß Art. 28 DSGVO wird Servus: personenbezogene Daten nur auf dokumentierte Weisung verarbeiten; sicherstellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind; geeignete technische und organisatorische Maßnahmen umsetzen; den Verantwortlichen bei Betroffenenrechten und bei seinen Pflichten nach Art. 32 bis 36 unterstützen; und die zum Nachweis der Einhaltung erforderlichen Informationen bereitstellen.

Servus wird den Kunden unverzüglich informieren, wenn eine Weisung nach Auffassung von Servus gegen die DSGVO oder anderes Datenschutzrecht verstößt.

Vertraulichkeit und Sicherheitsmaßnahmen

Servus verpflichtet sein Personal und seine Auftragnehmer zur Vertraulichkeit und gewährt Zugriff auf personenbezogene Daten nur nach dem Need-to-know-Prinzip. Servus unterhält dem Risiko angemessene technische und organisatorische Maßnahmen, darunter Verschlüsselung bei der Übertragung und im Ruhezustand, Mandantentrennung, Zugriffskontrollen, Secrets-Management, Protokollierung und Monitoring.

Diese Maßnahmen sind auf unserer Sicherheitsseite beschrieben und können im Laufe der Zeit aktualisiert werden, sofern das Schutzniveau nicht wesentlich verringert wird.

Unterauftragsverarbeiter

Der Kunde ermächtigt Servus, zur Erbringung des Dienstes Unterauftragsverarbeiter einzusetzen — darunter Cloud-Hosting, Anbieter von Nachrichtenkanälen, E-Mail-Zustellung und Zahlungsabwicklung. Servus erlegt jedem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auf wie in diesem AVV und bleibt für deren Leistung verantwortlich.

Servus führt eine aktuelle Liste der Unterauftragsverarbeiter und kündigt dem Kunden jede beabsichtigte Hinzufügung oder Ersetzung mit angemessener Frist vorab an, damit der Kunde aus berechtigten Datenschutzgründen widersprechen kann.

Unterstützung, Meldung von Verletzungen und Betroffenenanfragen

Servus unterstützt den Kunden angemessen bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte ausüben, sowie bei der Erfüllung seiner Pflichten in Bezug auf Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation.

Servus benachrichtigt den Kunden ohne unangemessene Verzögerung, nachdem es von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die Kundendaten betrifft, und stellt die Informationen bereit, die der Kunde zur Erfüllung seiner eigenen Meldepflichten vernünftigerweise benötigt.

Löschung oder Rückgabe, Audits und Übermittlungen

Bei Beendigung des Dienstes löscht oder retourniert Servus nach Wahl des Kunden dessen personenbezogene Daten und löscht vorhandene Kopien, sofern nicht das Recht der EU oder eines Mitgliedstaats eine Speicherung vorschreibt.

Servus stellt die zum Nachweis der Einhaltung von Art. 28 erforderlichen Informationen bereit und ermöglicht und unterstützt Audits, einschließlich Inspektionen, die der Kunde oder ein von ihm beauftragter Prüfer durchführt, vorbehaltlich angemessener Vertraulichkeit und Terminierung. Werden personenbezogene Daten außerhalb des EWR übermittelt, stützen sich die Parteien auf die Standardvertragsklauseln (SCCs) der Europäischen Kommission samt ergänzender Maßnahmen. Fragen zu diesem AVV richten Sie an [email protected].