Auftragsverarbeitungsvertrag (AVV)

1. Parteien

Kunde (Verantwortlicher): die natürliche oder juristische Person, die ein Clozo-Konto registriert und personenbezogene Daten Dritter (z. B. Kunden, Leads, Kontakte) in den Dienst hochlädt/überträgt.

Auftragsverarbeiter: Andrei Diachenko, Einzelunternehmer, handelnd unter dem Namen Clozo, Calle Covera 19, 5A, 33012 Oviedo, Asturien, Spanien. NIF Z1579875X · EU-USt-IdNr. ESZ1579875X.

2. Gegenstand und Dauer (Art. 28(3) Einleitung)

Gegenstand: die Verarbeitung personenbezogener Daten, die zur Erbringung des Clozo-Dienstes erforderlich ist (Angebotserstellung, elektronische Unterzeichnung, Rechnungserstellung und -versand, Zahlungseinzug über Stripe, optionale KI-Textunterstützung, optionale E-Invoicing-Formatgenerierung). Dauer: ab Kontoerstellung bis 30 Tage nach Kontoschließung bzw. Ablauf der längsten geltenden gesetzlichen Aufbewahrungsfrist nach EU-/MS-Recht (je nachdem, was später eintritt).

3. Art und Zweck der Verarbeitung (Art. 28(3)(a))

Art: Speicherung, Übertragung, Transformation (z. B. PDF-Rendering, XML-Erzeugung) und begrenzte automatisierte Verarbeitung (PII-bereinigte KI-Textverbesserung als Kernfunktion — Rechtsgrundlage Art. 6(1)(b) DSGVO). Zweck: dem Kunden den Betrieb seines Freelance-/KMU-Geschäfts über Clozo zu ermöglichen. Clozo verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, einschließlich Übermittlungen in Drittländer, sofern nicht durch Unions- oder Mitgliedstaaten-Recht, dem Clozo unterliegt, anderweitig verpflichtet; in diesem Fall informiert Clozo den Kunden vor der Verarbeitung über diese rechtliche Anforderung, sofern das Recht eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses nicht verbietet.

4. Datenarten und Kategorien betroffener Personen (Art. 28(3))

Datenarten: Identifikation (Name, E-Mail), Geschäftsdaten (Firmenname, USt-IdNr., Adresse, IBAN/BIC), Finanzdaten (Rechnungsbeträge, Zahlungs-Metadaten via Stripe), Kommunikation (E-Mail-Inhalte, optional Crisp-Chat-Transkripte), technische Daten (IP via Cloudflare, User-Agent, Browser-Sprache). Kategorien betroffener Personen: Endkunden des Kunden, Leads, Rechnungskontakte und Endempfänger der von Clozo erzeugten Dokumente. Keine besonderen Kategorien personenbezogener Daten (Art. 9) werden regelmäßig verarbeitet.

5. Pflichten und Rechte des Verantwortlichen (Art. 28(3)(d))

Der Kunde ist verantwortlich für (a) eine rechtmäßige Grundlage für das Erheben und Hochladen personenbezogener Daten in Clozo, (b) die Information betroffener Personen gemäß Art. 13/14, (c) die Bearbeitung von Anträgen betroffener Personen, die direkt an den Kunden gerichtet werden, (d) die Richtigkeit und Aktualität der hochgeladenen Daten, (e) das Führen des eigenen Verarbeitungsverzeichnisses gemäß Art. 30, (f) die Konfiguration der Clozo-Einstellungen (z. B. Aufbewahrungsfristen) entsprechend den Rechtsgrundlagen-Entscheidungen des Kunden.

6. Vertraulichkeit (Art. 28(3)(b))

Clozo stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Aktuell hat nur der Einzelunternehmer (Andrei Diachenko) operativen Zugriff; Mitarbeiter, Auftragnehmer oder Sub-Auftragsverarbeiter-Personal (Stripe, Cloudflare, Resend usw.) sind durch deren jeweilige NDAs und AVVs gebunden.

7. Sicherheitsmaßnahmen (Art. 28(3)(c) + Art. 32)

Clozo implementiert dem Risiko angemessene technische und organisatorische Maßnahmen (TOMs), insbesondere: TLS 1.3 bei der Übertragung; AES-256-äquivalente Verschlüsselung im Ruhezustand (Postgres auf Railway EU, R2 auf Cloudflare EU); JWT-basierte Authentifizierung mit Refresh-Token-Rotation; Rate-Limiting auf Auth-Endpunkten; tägliche verschlüsselte Datenbank-Backups; Sentry-basierte Vorfallserkennung; vierteljährliche Geheimnis-Rotation; Prinzip der minimalen Berechtigung beim Railway-Zugriff; Trennung von Staging-/Produktionsumgebung. Detaillierte TOMs auf Anfrage an legal@useclozo.com.

8. Sub-Auftragsverarbeiter (Art. 28(2) + (4))

Der Kunde ermächtigt Clozo, die im öffentlichen Sub-Auftragsverarbeiter-Register unter /subprocessors gelisteten Sub-Auftragsverarbeiter einzusetzen. Clozo informiert den Kunden mindestens 30 Tage im Voraus über geplante Ergänzungen oder Ersetzungen über den unter /subprocessors beschriebenen Benachrichtigungsmechanismus (E-Mail-Abonnement, RSS-Feed). Der Kunde kann einem neuen Sub-Auftragsverarbeiter widersprechen, indem er sich innerhalb der Frist an privacy@useclozo.com wendet; kann keine akzeptable Lösung gefunden werden, kann der Kunde diesen AVV und das zugrunde liegende Abonnement kündigen. Clozo erlegt jedem Sub-Auftragsverarbeiter die gleichen Datenschutzpflichten auf, wie sie in diesem AVV festgelegt sind, insbesondere durch hinreichende Garantien zur Umsetzung geeigneter TOMs.

9. Unterstützung bei Betroffenenrechten (Art. 28(3)(e))

Clozo stellt Self-Service-Endpunkte im Kunden-Dashboard bereit (Einstellungen → Datenschutz), um den Kunden bei der Bearbeitung von Betroffenenrechten gemäß Art. 15-22 zu unterstützen, darunter Datenexport (Art. 20), Löschung (Art. 17) mit einem 14-tägigen Storno-Fenster und Berichtigung (Art. 16). Für Anfragen, die über die Self-Service-Endpunkte hinausgehen, bietet Clozo auf Anfrage an privacy@useclozo.com zusätzliche Unterstützung in angemessener Zeit und ohne zusätzliche Kosten, soweit sich die Unterstützung auf das Abrufen oder Löschen von Daten beschränkt, auf die der Kunde nicht über das Dashboard zugreifen kann.

10. Meldung von Verletzungen (Art. 28(3)(f) + Art. 33)

Clozo benachrichtigt den Kunden unverzüglich, jedenfalls innerhalb von 72 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die Daten des Kunden betrifft. Die Mitteilung beschreibt mindestens die Art der Verletzung, die Kategorien und ungefähre Anzahl betroffener Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen. Clozo unterstützt den Kunden bei dessen eigenen Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen nach Art. 33 und Art. 34.

11. Löschung oder Rückgabe personenbezogener Daten (Art. 28(3)(g))

Nach Beendigung des zugrunde liegenden Abonnements löscht oder gibt Clozo, nach Wahl des Kunden, alle personenbezogenen Daten nach Erbringung der Verarbeitungsleistungen zurück und löscht bestehende Kopien, sofern nicht Unions- oder Mitgliedstaaten-Recht die Speicherung verlangt (z. B. Aufbewahrung von Steuerrechnungen nach Art. 244-247 MwStRL 2006/112/EG: mindestens 6 Jahre in NL, 10 Jahre in DE, 8 Jahre in PL). Soweit eine gesetzliche Aufbewahrung gilt, isoliert Clozo die aufbewahrten Daten, beschränkt den Zugriff auf das für die Einhaltung der Pflichten unbedingt Notwendige und löscht die Daten dauerhaft am Ende der Aufbewahrungsfrist.

12. Kontakt und Audits (Art. 28(3)(h))

Für alle AVV-bezogenen Fragen, Audit-Anfragen oder Betroffenenrechte: privacy@useclozo.com. Clozo stellt dem Kunden alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachzuweisen, und ermöglicht und unterstützt Überprüfungen — einschließlich Inspektionen — durch den Kunden oder einen vom Kunden beauftragten anderen Prüfer, vorbehaltlich einer angemessenen Frist (30 Tage) und einer Vertraulichkeitsverpflichtung.