Claimbro Logo

Auftragsverarbeitungsvertrag (AVV)

Vertrag über die Verarbeitung personenbezogener Daten im Sinne des Art. 28 Abs. 3 der Verordnung (EU) 2016/679 (DSGVO)

zwischen dem Auftraggeber (Mandant / SV-Büro)
— nachfolgend „Auftraggeber" genannt —

und

Till Rodewald
Knochenhauerstr. 10
30890 Barsinghausen
E-Mail: info@sv-rodewald.de
— Betreiber von ClaimBro —
— Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO —
— nachfolgend „Auftragnehmer" genannt —

Dieser Vertrag wird durch die Registrierung und Nutzung von ClaimBro (app.claimbro.de) geschlossen. Mit der Registrierung stimmt der Auftraggeber den Bedingungen dieses AVV zu.

§ 1 | Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand

Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen: Bereitstellung einer webbasierten SaaS-Plattform (ClaimBro) zur Erstellung und Verwaltung von Kundenformularen (Schadenformular, Anwaltsformular) für KFZ-Sachverständige, einschließlich Datenübermittlung an AutoiXpert sowie Browser-Erweiterung für Chrome und Firefox.

(2) Dauer

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Nutzungsverhältnisses zwischen Auftraggeber und Auftragnehmer.

§ 2 | Konkretisierung des Auftragsinhalts

(1) Art der Verarbeitung

Im Rahmen des Auftrags werden personenbezogene Daten durch den Auftragnehmer im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet. Im Einzelnen handelt es sich dabei um das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung sowie das Löschen oder die Vernichtung.

(2) Zweck der Verarbeitung

Der Zweck der Verarbeitung besteht in der Bereitstellung der Funktionen von ClaimBro: Entgegennahme von Kundenformularen (Schadenformular, Anwaltsformular), temporäre Zwischenspeicherung der Formulardaten, Weiterleitung an AutoiXpert via API sowie Versand von Bestätigungsmails an Endkunden des Auftraggebers.

Der Auftragnehmer verarbeitet die übermittelten Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers. Eine Nutzung zu eigenen Zwecken findet nicht statt.

(3) Ort der Verarbeitung

Die Datenverarbeitung findet auf Servern in der Europäischen Union statt:

  • All-Inkl.COM (Webhosting, Deutschland) — Formulardaten, PHP-Verarbeitung
  • Supabase (Authentifizierung & Konfigurationsdaten, Server in Irland/EU)

Eine Verarbeitung außerhalb des EWR findet nicht statt, sofern der Auftraggeber nicht ausdrücklich etwas anderes konfiguriert.

(4) Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind folgende Datenkategorien:

  • Name, Vorname
  • Adressdaten (Straße, PLZ, Ort)
  • Kontakt- und Kommunikationsdaten (Telefon, E-Mail)
  • Fahrzeugdaten (Kennzeichen, Marke, Modell)
  • Unfalldaten (Datum, Ort, Hergang)
  • Bankverbindungsdaten (IBAN, Kontoinhaber)
  • Versicherungsdaten (Versicherung, Schadennummer, Versicherungsscheinnummer)
  • Fotodaten und Dokumente (Unfallfotos, Dokumente)

Die durch die Verarbeitung betroffenen Personen sind: Endkunden des Auftraggebers (Unfallgeschädigte, Fahrzeughalter).

§ 3 | Technische und organisatorische Maßnahmen (TOMs)

(1) Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

  • Verschlüsselte Übertragung aller Daten via HTTPS/TLS
  • Authentifizierung über Supabase (JWT-Token, sichere Passwort-Hashes)
  • Zugriffsbeschränkung: Formulardaten sind nur für den jeweiligen Mandanten (Slug) abrufbar
  • Keine Speicherung von Klartextpasswörtern
  • Temporäre Datenspeicherung: Formulardaten werden maximal 30 Tage gespeichert und dann automatisch gelöscht
  • API-Keys für AutoiXpert werden verschlüsselt im Supabase Vault gespeichert
  • SMTP-Zugangsdaten werden verschlüsselt im Supabase Vault gespeichert

(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer ist berechtigt, alternative adäquate Maßnahmen umzusetzen, sofern das Sicherheitsniveau nicht unterschritten wird.

§ 4 | Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers.

(2) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.

(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Datenpannen oder Sicherheitsvorfälle, die personenbezogene Daten des Auftraggebers betreffen.

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber Betroffenen (Auskunft, Berichtigung, Löschung, Art. 12–22 DSGVO) soweit technisch möglich.

§ 5 | Unterauftragnehmer (Subauftragnehmer)

(1) Der Auftraggeber stimmt mit Abschluss dieses Vertrags der Inanspruchnahme folgender Subauftragnehmer zu:

Anbieter Zweck Serverstandort
ALL-INKL.COM – Neue Medien Münnich Webhosting, PHP-Verarbeitung Deutschland
Supabase Inc. Authentifizierung, Konfigurationsdaten, verschlüsselte Secrets Irland (EU) — AWS eu-west-1

(2) Der Auftragnehmer schließt mit diesen Subauftragnehmern Vereinbarungen nach Maßgabe des Art. 28 Abs. 2 und 4 DSGVO, soweit nicht bereits geschlossen.

(3) Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen bezüglich der Subauftragnehmer. Der Auftraggeber kann binnen 14 Tagen schriftlich Einspruch erheben, sofern ein wichtiger Grund vorliegt.

§ 6 | Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften durch den Auftragnehmer zu kontrollieren.

(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung und weist die Umsetzung der technischen und organisatorischen Maßnahmen nach.

§ 7 | Weisungsbefugnis des Auftraggebers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich nach dokumentierter Weisung des Auftraggebers. Die Nutzung der ClaimBro-Plattform (Formular-Konfiguration, API-Einstellungen, Datenlöschung) gilt als dokumentierte Weisung.

(2) Weisungen des Auftraggebers erfolgen grundsätzlich über die Einstellungen im ClaimBro-Dashboard. Weitergehende Weisungen sind in Textform zu erteilen.

§ 8 | Löschung und Rückgabe von personenbezogenen Daten

(1) Formulardaten werden automatisch 30 Tage nach Eingang gelöscht. Der Auftraggeber kann die sofortige Löschung einzelner Datensätze jederzeit über das Dashboard veranlassen.

(2) Mit Beendigung des Nutzungsverhältnisses werden alle personenbezogenen Daten des Auftraggebers und seiner Endkunden innerhalb von 30 Tagen unwiderruflich gelöscht. Der Auftraggeber kann vor Vertragsende einen Datenexport anfordern.

(3) Konfigurationsdaten (Einstellungen, API-Keys) werden mit Kontolöschung unverzüglich gelöscht.

§ 9 | Sonstige Bestimmungen

(1) Beide Parteien behandeln alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse vertraulich, auch über die Beendigung des Vertrags hinaus.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleiben die übrigen Bestimmungen unberührt.

(3) Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.

(4) Gerichtsstand ist Barsinghausen / Hannover.

Stand: März 2026 · Datenschutzerklärung · Impressum