Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
zwischen
dem Händler — der nachfolgend genannte Vertragspartner, registriert im Konfigurator unter www.mycoverseal-b2b.de (im Folgenden „Verantwortlicher" oder „Händler")
und
Hausbedarf24 UG (haftungsbeschränkt), auftretend unter der Marke „myCoverseal" Eichelscheiderstraße 30, 66914 Waldmohr Amtsgericht Zweibrücken, HRB 33393 USt-IdNr.: DE457140164 vertreten durch den Geschäftsführer Marcel Gregor Stuppy (im Folgenden „Auftragsverarbeiter" oder „myCoverseal")
— gemeinsam die „Vertragsparteien" —
Präambel
Der Verantwortliche nutzt die Online-Konfigurator-Plattform unter www.mycoverseal-b2b.de zur Konfiguration und Bestellung von Coverseal Pool-Abdeckungen. Im Rahmen dieser Nutzung gibt der Verantwortliche personenbezogene Daten seiner Endkunden (insbesondere Name, Anschrift, Kontaktdaten) in die Plattform ein. Diese werden bei myCoverseal gespeichert und ausschließlich zur Auftragsabwicklung verarbeitet.
Die Vertragsparteien schließen daher folgenden Vertrag über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
1.1 Gegenstand der Auftragsverarbeitung
Verarbeitung personenbezogener Daten von Endkunden des Händlers im Rahmen der Konfigurator-Plattform und der Auftragsabwicklung.
1.2 Art und Zweck der Verarbeitung
- Speicherung von Konfigurations- und Endkundendaten
- Erstellung und Verwaltung von Anfragen und Aufträgen
- Übermittlung der erforderlichen Daten an den Hersteller Coverseal NV (Belgien) zur Produktion und Lieferung
- Versand von Transaktions-E-Mails
- Archivierung im Rahmen handels- und steuerrechtlicher Aufbewahrungspflichten
1.3 Art der personenbezogenen Daten
- Stammdaten (Name, Anschrift, Telefon, E-Mail)
- Anschrift der Installationsadresse
- ggf. Bild-Uploads der Einbausituation
1.4 Kategorien betroffener Personen
- Endkunden des Händlers (private oder gewerbliche Pool-Eigentümer)
- ggf. Mitarbeiter / Ansprechpartner des Endkunden
1.5 Dauer
Dieser Vertrag wird für die Dauer der aktiven Nutzung der Konfigurator-Plattform geschlossen. Er endet automatisch mit Beendigung der Geschäftsbeziehung zwischen Verantwortlichem und myCoverseal.
§ 2 Weisungsrecht des Verantwortlichen
2.1
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Als Weisung gelten insbesondere die Eingaben des Händlers in den Konfigurator sowie die im Hauptvertrag (AGB) und in diesem AVV getroffenen Festlegungen.
2.2
Mündliche Weisungen sind unverzüglich in Textform (E-Mail genügt) zu bestätigen.
2.3
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen Datenschutzvorschriften verstößt. Er kann die Durchführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung durch den Verantwortlichen aussetzen.
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
a) personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen zu verarbeiten;
b) die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten oder sicherzustellen, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
c) die technischen und organisatorischen Maßnahmen gemäß Anlage 1 zu treffen und während der Vertragsdauer aufrechtzuerhalten;
d) den Verantwortlichen unverzüglich zu informieren, sobald ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden (Art. 33 DSGVO);
e) den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte zu unterstützen (Art. 12-22 DSGVO);
f) den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32-36 DSGVO zu unterstützen;
g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht;
h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen von diesem beauftragten Prüfer zu ermöglichen und dazu beizutragen.
§ 4 Subunternehmer (weitere Auftragsverarbeiter)
4.1
Der Verantwortliche stimmt dem Einsatz folgender Unter-Auftragsverarbeiter ausdrücklich zu:
| Unter-Auftragsverarbeiter | Sitz | Datenstandort | Leistung | DPA / Datenschutz |
|---|---|---|---|---|
| Lovable Labs AB | Stockholm, Schweden (EU) | EU | Plattform-Hosting, Frontend, Backend-Anbindung | https://lovable.dev/privacy · https://lovable.dev/terms · https://trust.lovable.dev |
| Supabase Inc. | Singapore (Hauptsitz) / AWS eu-west-1 Irland (Datenstandort) | EU (Irland) | Datenbank und Authentifizierung | https://supabase.com/legal/dpa · https://supabase.com/privacy |
| Coverseal NV | Sint-Niklaas, Belgien | EU | Produktion / Lieferabwicklung; Coverseal NV verarbeitet die übermittelten Daten in eigener Verantwortlichkeit für die Produktion | direkter Bezug über myCoverseal als Vertragshändler |
4.2
Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter, wodurch dem Verantwortlichen die Möglichkeit eingeräumt wird, gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Die Information erfolgt mindestens 30 Tage vor der beabsichtigten Änderung in Textform.
4.3
Der Auftragsverarbeiter stellt sicher, dass mit allen Unter-Auftragsverarbeitern die Datenschutzpflichten in vergleichbarer Weise vertraglich vereinbart sind. Insbesondere besteht zwischen myCoverseal und Supabase Inc. ein Auftragsverarbeitungsvertrag (Data Processing Addendum, DPA, abrufbar unter https://supabase.com/legal/dpa).
§ 5 Drittlandtransfer
5.1
Sofern Daten in Länder außerhalb des Europäischen Wirtschaftsraums verarbeitet werden, sind die Voraussetzungen der Art. 44-49 DSGVO einzuhalten. Insbesondere sind Standardvertragsklauseln (SCC) der Europäischen Kommission abzuschließen, soweit kein Angemessenheitsbeschluss besteht.
5.2
Aktuell findet keine Datenverarbeitung außerhalb der EU statt. Sämtliche Plattform-, Datenbank- und E-Mail-Verarbeitungen laufen innerhalb der EU (Lovable Cloud in Schweden, Supabase-Datenbank in Irland, Coverseal in Belgien).
§ 6 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen.
§ 7 Verletzungen des Schutzes personenbezogener Daten
7.1
Der Auftragsverarbeiter zeigt dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich (binnen 72 Stunden ab Kenntnis) in Textform an. Die Meldung enthält mindestens die Angaben gemäß Art. 33 Abs. 3 DSGVO.
7.2
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von dessen Melde- und Benachrichtigungspflichten gemäß Art. 33, 34 DSGVO.
§ 8 Haftung und Schadensersatz
Für die Haftung der Vertragsparteien gegenüber betroffenen Personen gilt Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für die ihr zurechenbaren Verstöße. Eine darüber hinausgehende Haftungsverteilung richtet sich nach den allgemeinen gesetzlichen Bestimmungen.
§ 9 Beendigung
9.1
Mit Beendigung dieses Vertrages hat der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zu löschen oder zurückzugeben. Bestehende gesetzliche Aufbewahrungspflichten bleiben unberührt; entsprechende Daten sind gemäß § 35 BDSG zu sperren.
9.2
Der Auftragsverarbeiter dokumentiert die Löschung bzw. Rückgabe in geeigneter Weise und bestätigt diese gegenüber dem Verantwortlichen schriftlich (E-Mail genügt).
§ 10 Schlussbestimmungen
10.1
Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen nicht.
10.2
Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen zwischen den Parteien gehen die Regelungen dieses Vertrages vor.
10.3
Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
10.4
Gerichtsstand und anwendbares Recht: siehe Hauptvertrag (AGB). Gerichtsstand: 66914 Waldmohr / zuständiges Gericht Zweibrücken. Anwendbares Recht: deutsches Recht unter Ausschluss des UN-Kaufrechts.
Abschluss durch elektronische Bestätigung
Der Verantwortliche bestätigt durch aktives Setzen des Häkchens „Auftragsverarbeitungsvertrag akzeptieren" während der Händler-Registrierung den Abschluss dieses AVV mit dem aktuellen Stand vom Juni 2026. Eine Speicherung des AVV-Wortlauts mit Zeitstempel der Annahme erfolgt im Händler-Konto.
ANLAGE 1 — Technisch-organisatorische Maßnahmen (TOM)
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle:
- Geschäftsräume durch Schließanlage gesichert
- Server-Hosting nicht in eigenen Räumen — Lovable Cloud und Supabase betreiben professionelle Rechenzentren mit Zutrittskontrolle nach ISO 27001 (AWS eu-west-1, Irland)
Zugangskontrolle:
- Authentifizierung per E-Mail/Passwort mit Mindestlänge 12 Zeichen
- Passwort-Speicherung als gehashter Wert (Argon2id / bcrypt durch Supabase Auth)
- Login-Versuch-Limitierung gegen Brute-Force
- Rollenbasierte Zugriffsrechte (Händler / Sub-Admin / Super-Admin)
Zugriffskontrolle:
- Mandantentrennung auf Datenbank-Ebene (Row-Level-Security in Supabase)
- Händler sehen nur eigene Anfragen
- Admin-Zugriff dokumentiert im Audit-Log
Trennungskontrolle:
- Trennung von Produktivdaten und Testdaten
- Logische Mandantentrennung über
dealer_id
Pseudonymisierung:
- IP-Adressen in Logfiles werden gekürzt vor Speicherung
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle:
- TLS 1.2+ für alle Datenübertragungen
- Verschlüsselte Datenbankverbindungen
- E-Mail-Versand über TLS-gesicherten Dienstleister (Lovable Cloud E-Mail-Service)
Eingabekontrolle:
- Audit-Log für alle ändernden Aktionen (wer/wann/was)
- Versionierte Statusänderungen bei Anfragen
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle:
- Tägliche automatisierte Backups (Supabase-Standard, Aufbewahrung mindestens 7 Tage)
- Disaster-Recovery durch Supabase / AWS-Infrastruktur
Rasche Wiederherstellbarkeit:
- Point-in-Time-Recovery innerhalb der Backup-Frist möglich
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Jährliche Überprüfung der TOM
- Anpassung bei wesentlichen Änderungen der Verarbeitungslandschaft
- Schulung der mit der Datenverarbeitung betrauten Mitarbeiter
Stand: Juni 2026
Stand: Juni 2026