Vertragsparteien

§ 1 Gegenstand und Dauer

Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform InboxLayer.

Der Vertrag beginnt mit der Registrierung des Nutzers und endet mit der vollständigen Löschung des Nutzerkontos. Die Verarbeitung erfolgt ausschließlich auf dem Gebiet der Bundesrepublik Deutschland und der Europäischen Union.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Rahmen folgender Dienste:

• E-Mail-Routing: Empfang, Speicherung und Weiterleitung von E-Mails über generierte Schutzadressen an die hinterlegte Ziel-Adresse des Nutzers.
• Inbox Cleanup: Analyse eingehender E-Mails zur Erkennung von Newsletter-Abonnements und Extraktion von Abmeldelinks (List-Unsubscribe-Header und E-Mail-Body). Durchführung von One-Click-Unsubscribe-Anfragen im Auftrag des Nutzers.
• Newsletter Intelligence: KI-gestützte Analyse von E-Mail-Inhalten zur Generierung von Zusammenfassungen, Qualitätsbewertungen und Handlungsempfehlungen. Die Verarbeitung erfolgt über OpenAI (siehe Unterauftragsverarbeiter).
• Personalisierte Begrüßung: Übermittlung von Vorname, Nachname und E-Mail-Adresse an den Dienst WOWING zur Erstellung personalisierter Video-Begrüßungen für neue Nutzer (siehe Unterauftragsverarbeiter).

§ 3 Art der personenbezogenen Daten

• Stammdaten: Vorname, Nachname, E-Mail-Adresse, Passwort (gehasht)
• E-Mail-Metadaten: Absender, Empfänger, Betreff, Zeitstempel, Spam-Score
• E-Mail-Inhalte: Vollständiger E-Mail-Body (HTML/Text) zur Analyse und Weiterleitung
• Nutzungsdaten: Erstellte Adressen, Weiterleitungseinstellungen, Labels, Onboarding-Fortschritt
• Technische Daten: Session-Token, Browser-Informationen (nur bei aktivem Feedback)

§ 4 Kategorien betroffener Personen

• Registrierte Nutzer der Plattform InboxLayer
• Absender von E-Mails an generierte Schutzadressen (indirekt, nur Metadaten)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen zu verarbeiten.
• Alle mit der Verarbeitung beauftragten Personen zur Vertraulichkeit zu verpflichten.
• Geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu ergreifen (siehe Anlage 1).
• Die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten.
• Den Verantwortlichen bei der Wahrnehmung der Betroffenenrechte zu unterstützen.
• Den Verantwortlichen unverzüglich über Verletzungen des Schutzes personenbezogener Daten zu informieren.
• Nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben.

§ 6 Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu. Änderungen werden dem Auftraggeber vorab mitgeteilt.

§ 7 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen gemäß Art. 12–22 DSGVO, insbesondere:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Der Nutzer kann jederzeit über die Kontoeinstellungen seine Daten einsehen, exportieren oder sein Konto unwiderruflich löschen. Alle zugehörigen Daten werden bei Kontolöschung vollständig entfernt.

§ 8 Löschung und Rückgabe von Daten

Nach Beendigung des Nutzungsvertrags (Kontolöschung) wird der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen unwiderruflich löschen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

Dies umfasst: Nutzerkonten, generierte Adressen, empfangene E-Mails, E-Mail-Inhalte, Analysedaten, Insights und alle zugehörigen Metadaten.

§ 9 Kontrollrechte des Auftraggebers

Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags und der technisch-organisatorischen Maßnahmen zu überprüfen. Der Auftragsverarbeiter stellt hierfür alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Rahmen.

Anlage 1: Technisch-organisatorische Maßnahmen (TOM)

Vertraulichkeit

• Zugriff auf Produktionssysteme ausschließlich über SSH mit Key-Authentifizierung
• Passwörter werden mit bcrypt gehasht gespeichert
• Session-basierte Authentifizierung über NextAuth.js mit sicheren HTTP-Only Cookies
• Rollenbasierte Zugriffskontrolle (User / Admin)

Integrität

• Alle API-Endpunkte mit Authentifizierung und Autorisierung geschützt
• Eingabevalidierung über Zod-Schemata
• Automatisierte CI/CD-Pipeline mit Tests vor jedem Deployment
• Audit-Logging aller administrativen Aktionen

Verfügbarkeit

• Hosting auf dedizierten Hetzner-Servern in Deutschland
• Docker-basierte Container-Orchestrierung
• Health-Check-Endpoint für automatische Überwachung
• Eigener SMTP-Server für unabhängigen E-Mail-Empfang

Belastbarkeit

• PostgreSQL-Datenbank mit transaktionaler Sicherheit
• Fehlerbehandlung und automatisches Retry bei externen API-Aufrufen
• Automatisiertes Error-Tracking und Reporting

Pseudonymisierung & Verschlüsselung

• TLS-Verschlüsselung für alle HTTP-Verbindungen (HTTPS)
• STARTTLS für eingehende SMTP-Verbindungen
• Generierte Schutzadressen als Pseudonymisierungs-Maßnahme
• KI-Analyse ohne Rückschluss auf reale Nutzeridentität (keine personenbezogenen Daten im Prompt)

§ 10 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Nürtingen. Änderungen dieses Vertrags bedürfen der Schriftform. Sollte eine Bestimmung unwirksam sein, bleibt der Rest des Vertrags unberührt.