Auftragsverarbeitungsvertrag

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Stand: April 2026 · Gültig für alle aktiven Plantrixx-Kundenverträge

Auftragsverarbeiter (AV)

Plantrixx GmbH

Geschäftsführer: Miguel Ferraz

Waldeckerstr. 4, 64546 Mörfelden-Walldorf

Telefon: +49 6402 8090693

E-Mail: info@plantrixx.com

Auftraggeber / Verantwortlicher (AG)

[Firmenname des Kunden]

[Adresse des Kunden]

[Vertretungsberechtigte Person]

[E-Mail des Kunden]

– nachfolgend einzeln „Partei" und zusammen „Parteien" genannt –

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ergänzt und ist Bestandteil des zwischen den Parteien bestehenden Hauptvertrags über die Nutzung der Plantrixx-SaaS-Plattform (nachfolgend „Hauptvertrag"). Soweit dieser AVV keine abweichende Regelung enthält, gelten die Bestimmungen des Hauptvertrags.

§1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragsverarbeiter (Plantrixx GmbH) erbringt für den Auftraggeber SaaS-Dienstleistungen im Bereich KI-gestützter Chatbot-Systeme, insbesondere:

Bereitstellung und Betrieb eines konfigurierbaren Chatbot-Widgets zur Einbettung auf der Website des Auftraggebers
Lead-Qualifizierung und -Verwaltung über das Plantrixx-Dashboard
Versand von Lead-Benachrichtigungs-E-Mails an vom Auftraggeber benannte Empfänger
Optionale Terminbuchungsfunktion mit Kalender-Integration
Bereitstellung eines mandantengetrennten Admin-Dashboards

Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten ausschließlich im Auftrag und nach den dokumentierten Weisungen des Auftraggebers.

1.2 Dauer

Dieser AVV tritt mit Abschluss des Hauptvertrags in Kraft und gilt für dessen gesamte Laufzeit. Er endet automatisch mit der Beendigung des Hauptvertrags, unbeschadet der Regelungen zur Datenlöschung und Rückgabe gemäß § 8 dieses AVV.

§2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten durch Plantrixx GmbH umfasst folgende Vorgänge:

Verarbeitungsvorgang	Zweck	Rechtsgrundlage (AG)
Speicherung von Lead-Daten in der Datenbank	Bereitstellung der Lead-Verwaltungsfunktion im Dashboard des AG	Art. 6 Abs. 1 lit. a oder b DSGVO (Weisung des AG)
KI-Verarbeitung von Gesprächsinhalten	Generierung von Chatbot-Antworten mittels Large Language Model	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung Endnutzer, vom AG eingeholt)
Versand von Benachrichtigungs-E-Mails	Weiterleitung von Lead-Informationen an Mitarbeiter des AG	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung ggü. dem AG)
Terminbuchung (optional)	Eintragung von Terminen im Kalender des AG	Art. 6 Abs. 1 lit. a oder b DSGVO
Speicherung von Chat-Sessions	Technischer Betrieb, Qualitätssicherung, Auditfähigkeit	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des AV)

§3 Art der Daten und Kategorien betroffener Personen

3.1 Personenbezogene Daten

Im Rahmen dieses AVV werden folgende Kategorien personenbezogener Daten verarbeitet:

Name (Vor- und Nachname)
E-Mail-Adresse
Telefonnummer (soweit vom Endnutzer angegeben)
Gesprächsverläufe / Nachrichteninhalte des Chatbots
IP-Adressen (bei Login des Admin-Accounts des AG)
Session-IDs (pseudonymisierte Bezeichner)
Termindetails (bei aktivierter Kalender-Integration)

Es werden keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten, religiöse Überzeugungen) verarbeitet. Der Auftraggeber ist verpflichtet, den Auftragsverarbeiter unverzüglich zu informieren, sofern im Einzelfall doch solche Daten anfallen könnten.

3.2 Kategorien betroffener Personen

Website-Besucher und Leads: Natürliche Personen, die mit dem Chatbot-Widget auf der Website des Auftraggebers interagieren
Mitarbeiter des Auftraggebers: Personen, die das Plantrixx-Dashboard als Admin-Nutzer verwenden, sowie Mitarbeiter, an die Lead-Benachrichtigungs-E-Mails gesendet werden

§4 Pflichten des Auftragsverarbeiters

4.1 Verarbeitung nur auf Weisung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, einschließlich der in diesem AVV sowie im Hauptvertrag festgelegten Weisungen, es sei denn, er ist durch das Recht der Europäischen Union oder eines Mitgliedstaats dazu verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus Gründen des öffentlichen Interesses verbietet.

Weisungen des Auftraggebers können über das Dashboard der Plantrixx-Plattform, schriftlich per E-Mail oder in anderer dokumentierter Form erteilt werden. Der Auftragsverarbeiter bestätigt den Eingang von Weisungen.

4.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht über die Beendigung des Beschäftigungsverhältnisses hinaus fort.

4.3 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere die in Anlage 1 (§ 6) dieses AVV detailliert beschriebenen technischen und organisatorischen Maßnahmen (TOM).

4.4 Unterauftragsverarbeiter

Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur nach vorheriger allgemeiner schriftlicher Genehmigung des Auftraggebers einsetzen. Die zum Zeitpunkt des Abschlusses dieses AVV genehmigten Unterauftragsverarbeiter sind in Anlage 2 (§ 7) dieses AVV aufgeführt. Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung für den Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter.

Der Auftragsverarbeiter wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern mindestens 30 Tage vorab per E-Mail informieren und damit dem Auftraggeber die Möglichkeit geben, diesen Änderungen zu widersprechen.

Der Auftragsverarbeiter legt seinen Unterauftragsverarbeitern dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind. Der Auftragsverarbeiter haftet dem Auftraggeber gegenüber für die Erfüllung der Pflichten der Unterauftragsverarbeiter.

4.5 Unterstützung bei der Wahrung von Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Anfragen betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Kapitel III DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Hierzu stellt Plantrixx im Admin-Dashboard entsprechende Exportfunktionen bereit.

Geht beim Auftragsverarbeiter eine Anfrage einer betroffenen Person direkt ein, wird er diese unverzüglich an den Auftraggeber weiterleiten und keine eigenständige Auskunft erteilen, es sei denn, der Auftraggeber hat ihn ausdrücklich dazu ermächtigt.

4.6 Unterstützung bei Pflichten nach Art. 32–36 DSGVO

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO, insbesondere:

Sicherheit der Verarbeitung (Art. 32 DSGVO)
Meldung von Datenschutzverletzungen an die Aufsichtsbehörde (Art. 33 DSGVO)
Benachrichtigung betroffener Personen (Art. 34 DSGVO)
Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Der Auftragsverarbeiter meldet dem Auftraggeber Datenschutzverletzungen, die für ihn verarbeitete Daten betreffen, unverzüglich und spätestens innerhalb von 24 Stunden nach Kenntnisnahme per E-Mail an die im Hauptvertrag hinterlegte Adresse.

4.7 Löschung nach Vertragsende

Nach Wahl des Auftraggebers löscht oder gibt der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Pflicht zur Speicherung der personenbezogenen Daten besteht. Die Löschung erfolgt spätestens 90 Tage nach Vertragsbeendigung. Auf Anfrage stellt Plantrixx eine Löschbestätigung aus.

4.8 Kontroll- und Auditrechte

Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen – durch den Auftraggeber oder einen vom Auftraggeber beauftragten Prüfer sowie entsprechende Unterstützung dabei.

Auditankündigungen müssen mindestens 14 Tage im Voraus schriftlich erfolgen. Audits werden zu den üblichen Geschäftszeiten durchgeführt und dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen. Kosten für Audits trägt grundsätzlich der Auftraggeber. Der Auftragsverarbeiter kann anstelle einer Vor-Ort-Inspektion die Vorlage aktueller Zertifikate, Auditberichte oder sonstiger Nachweise geeigneter Sicherheitsmaßnahmen anbieten.

§5 Pflichten des Auftraggebers

Der Auftraggeber ist als Verantwortlicher im Sinne der DSGVO für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten seiner Endnutzer verantwortlich. Er verpflichtet sich insbesondere:

Vor dem Einsatz des Chatbot-Widgets eine datenschutzrechtlich wirksame Rechtsgrundlage (z. B. Einwilligung der Endnutzer) für die Verarbeitung der über den Chatbot erhobenen personenbezogenen Daten sicherzustellen.
In seiner eigenen Datenschutzerklärung über den Einsatz des Plantrixx-Chatbots und die damit verbundene Datenverarbeitung zu informieren.
Den Auftragsverarbeiter unverzüglich zu informieren, sofern er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.
Weisungen, die nach Einschätzung des Auftragsverarbeiters gegen die DSGVO oder andere Datenschutzvorschriften verstoßen, unverzüglich auf Hinweis des Auftragsverarbeiters zu überprüfen.
Die in diesem AVV enthaltenen Informationen zu Unterauftragsverarbeitern und Drittlandtransfers zur Kenntnis zu nehmen.

§6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlich hohen Risiken folgende technische und organisatorische Maßnahmen getroffen:

Verschlüsselung der Übertragung

Alle Datenübertragungen erfolgen ausschließlich über HTTPS/TLS 1.2 oder höher. Unverschlüsselte HTTP-Verbindungen werden auf HTTPS umgeleitet.

Verschlüsselung gespeicherter Daten

Passwörter werden ausschließlich als bcrypt-Hashes mit individuellem Salt gespeichert. Kein Klartext-Passwort wird persistiert.

Zugriffskontrolle und Authentifizierung

Authentifizierung mittels JWT (JSON Web Tokens) mit begrenzter Gültigkeitsdauer. Rollenbasierte Zugriffskontrolle (RBAC): Admin, Member, Viewer. Login-Versuche werden protokolliert (IP-Adresse, Zeitstempel). Mehr-Faktor-Authentifizierung ist optional verfügbar.

Mandantentrennung (Multi-Tenancy-Isolation)

Strikte logische Trennung aller Kundendaten durch eine client_id-basierte Isolierung auf Datenbankebene. Sämtliche Datenbankabfragen schließen eine mandantenspezifische Filterung ein. Technische Maßnahmen verhindern den mandantenübergreifenden Datenzugriff.

Pseudonymisierung

Chat-Sessions werden über pseudonymisierte Session-IDs (zufällig generierte Bezeichner ohne direkten Personenbezug) referenziert. Eine Re-Identifizierung ist nur in Verbindung mit zusätzlich gespeicherten Lead-Daten möglich.

Datensicherung (Backup)

Automatische tägliche Backups der PostgreSQL-Datenbank. Aufbewahrung der Backups für 30 Tage. Backups werden auf demselben IONOS-VPS in Frankfurt gespeichert. Regelmäßige Tests der Wiederherstellbarkeit.

Verfügbarkeit und Resilienz

Betrieb in Docker-Containern mit automatischem Neustart bei Ausfall. Health-Monitoring mit automatischer Alarmierung. Regelmäßige Wartungsfenster werden den Kunden vorab kommuniziert. Ziel-Verfügbarkeit: 99,5 % (monatlicher Durchschnitt).

Zutrittskontrolle (physischer Server)

Der Server wird durch IONOS SE in einem Rechenzentrum in Frankfurt, Deutschland betrieben. Das Rechenzentrum verfügt über physische Zugangskontrolle. Direkte physische Zugriffe durch Plantrixx-Mitarbeiter erfolgen nicht (managed VPS).

Datenbankzugriffskontrolle

Der Datenbankzugriff (PostgreSQL) ist auf den lokalen Server beschränkt und von außen nicht direkt erreichbar. Für API-Server und Datenbank werden separate Datenbankbenutzer mit minimalen notwendigen Berechtigungen verwendet.

Protokollierung und Auditierung

Login-Ereignisse (IP-Adresse, Zeitstempel, Ergebnis) werden protokolliert und 90 Tage aufbewahrt. API-Nutzung wird auf Mandantenebene protokolliert und 365 Tage aufbewahrt.

Verfahren zur regelmäßigen Überprüfung

Abhängigkeiten (npm-Pakete, Docker-Images) werden regelmäßig auf bekannte Sicherheitslücken geprüft und aktualisiert. Sicherheitsrelevante Updates werden zeitnah eingespielt.

Der Auftragsverarbeiter kann die TOM im Laufe der Zeit weiterentwickeln, sofern das Sicherheitsniveau dabei mindestens gleichwertig bleibt. Wesentliche Änderungen werden dem Auftraggeber vorab mitgeteilt.

§7 Unterauftragsverarbeiter (Anlage)

Plantrixx GmbH setzt zum Zeitpunkt des Abschlusses dieses AVV die folgenden Unterauftragsverarbeiter ein. Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung für deren Einsatz.

Anlage 2 — Liste der genehmigten Unterauftragsverarbeiter

Deutschland

IONOS SE

Elgendorfer Str. 57, 56410 Montabaur, Deutschland

Server-Hosting (VPS Frankfurt) — Betrieb der API, Datenbank und Webserver; alle Daten bleiben in Deutschland

EU / Irland

OpenAI Ireland Ltd

1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Irland

KI-Textverarbeitung — Generierung von Chatbot-Antworten mittels GPT-4o-mini; Rechtsgrundlage Drittlandtransfer: EU-Standardvertragsklauseln (SCCs); DPA abgeschlossen

USA / EU-US DPF

Plus Five Five Inc (Resend)

2261 Market Street #4990, San Francisco, CA 94114, USA

E-Mail-Versand — Transaktionale Lead-Benachrichtigungen; Rechtsgrundlage Drittlandtransfer: EU-US Data Privacy Framework (DPF); DPA abgeschlossen

EU / Irland

Stripe Europe Ltd

1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Zahlungsabwicklung — Verarbeitung von Zahlungsdaten für Plantrixx-Abonnements; Rechtsgrundlage Drittlandtransfer (ggf.): SCCs; DPA abgeschlossen

EU / Irland (optional)

Microsoft Ireland Operations Ltd

One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland

Kalender-Integration (Microsoft 365 / Outlook) — nur aktiv bei ausdrücklicher Aktivierung durch den Auftraggeber; Rechtsgrundlage Drittlandtransfer (ggf.): SCCs

EU / Irland (optional)

Google Ireland Ltd

Gordon House, Barrow Street, Dublin 4, Irland

Kalender-Integration (Google Calendar) — nur aktiv bei ausdrücklicher Aktivierung durch den Auftraggeber; Rechtsgrundlage Drittlandtransfer (ggf.): SCCs und EU-US DPF

§8 Laufzeit und Kündigung

8.1 Laufzeit

Dieser AVV ist auf unbestimmte Zeit geschlossen und an die Laufzeit des Hauptvertrags gekoppelt. Er endet automatisch mit der Beendigung des Hauptvertrags aus jedwelchem Grund, ohne dass es einer gesonderten Kündigung bedarf.

8.2 Folgen der Beendigung

Nach Beendigung des Hauptvertrags und dieses AVV:

Stellt der Auftragsverarbeiter die Verarbeitung der personenbezogenen Daten des Auftraggebers unverzüglich ein.
Gibt der Auftragsverarbeiter dem Auftraggeber auf schriftliche Anfrage alle im Auftrag verarbeiteten personenbezogenen Daten in einem gängigen, maschinenlesbaren Format (CSV oder JSON) heraus – auf Anfrage innerhalb von 30 Tagen nach Vertragsende.
Löscht der Auftragsverarbeiter alle personenbezogenen Daten spätestens 90 Tage nach Vertragsbeendigung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Auftragsverarbeiter stellt eine schriftliche Löschbestätigung aus.
Legt der Auftragsverarbeiter dem Auftraggeber auf Anfrage einen Nachweis über die erfolgte Löschung vor.

§9 Schlussbestimmungen

9.1 Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist, soweit gesetzlich zulässig, der Sitz der Plantrixx GmbH.

9.2 Vorrang und Verhältnis zum Hauptvertrag

Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag in Bezug auf datenschutzrechtliche Regelungen hat dieser AVV Vorrang. Im Übrigen gelten die Bestimmungen des Hauptvertrags ergänzend.

9.3 Schriftform

Änderungen und Ergänzungen dieses AVV bedürfen der Textform (E-Mail genügt). Mündliche Vereinbarungen haben keine Gültigkeit.

9.4 Salvatorische Klausel

Sollte eine Bestimmung dieses AVV unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien sind verpflichtet, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung so weit wie möglich entspricht.

9.5 Inkrafttreten durch Nutzung der Plattform

Durch die aktive Nutzung der Plantrixx-Plattform nach Abschluss des Hauptvertrags gilt dieser AVV als von beiden Parteien akzeptiert. Auf ausdrückliche Anfrage stellt Plantrixx GmbH eine unterzeichnete Version dieses AVV zur Verfügung.

— Unterschriften

Dieser AVV kann auch ohne handschriftliche Unterschrift durch elektronische Annahme (z. B. Anklicken im Onboarding-Prozess oder per E-Mail-Bestätigung) wirksam abgeschlossen werden. Auf Wunsch steht eine druckfähige Version mit Unterschriftsfeldern zur Verfügung.

Auftragsverarbeiter

Plantrixx GmbH, [Ort], den _____________
Unterschrift: ____________________________
[Name, Funktion]

Auftraggeber / Verantwortlicher

[Firma des Kunden], [Ort], den _____________
Unterschrift: ____________________________
[Name, Funktion]