gemäß Art. 28 DSGVO
§ 1 Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag (AV-Vertrag) konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien im Zusammenhang mit der Nutzung der ProcurePilot-Plattform. Er gilt für die Dauer der Nutzungsvereinbarung.
§ 2 Art und Zweck der Verarbeitung
Der Auftragsverarbeiter (Davies Meyer GmbH) verarbeitet im Auftrag des Verantwortlichen (Kunde) personenbezogene Daten zum Zweck der:
- Beschaffungsdatenanalyse und -optimierung
- KI-gestützten Lieferantenverhandlung
- Marktpreisanalyse und Benchmarking
- Vertragsmanagement und Compliance-Prüfung
§ 3 Art der personenbezogenen Daten
- Kontaktdaten von Lieferantenansprechpartnern (Name, E-Mail, Telefon)
- Geschäftliche Kommunikationsdaten (E-Mail-Inhalte)
- Beschaffungsdaten (Preise, Volumina, Vertragsbedingungen)
- Nutzerdaten der Plattform (Login, Aktivitäten)
§ 4 Kategorien betroffener Personen
- Mitarbeiter des Kunden
- Ansprechpartner bei Lieferanten des Kunden
§ 5 Pflichten des Auftragsverarbeiters
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
- Gewährleistung der Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
- Ergreifung technischer und organisatorischer Maßnahmen (Art. 32 DSGVO)
- Unterstützung bei Betroffenenrechten und Datenschutz-Folgenabschätzung
- Löschung oder Rückgabe aller Daten nach Beendigung
- Zurverfügungstellung aller Informationen für Nachweise
§ 6 Technische und organisatorische Maßnahmen
- Verschlüsselung aller Daten in Transit (TLS 1.3) und at Rest (AES-256)
- Hosting ausschließlich in EU-Rechenzentren (Frankfurt)
- Zugriffskontrolle mit rollenbasierter Berechtigung
- Regelmäßige Sicherheitsupdates und Penetrationstests
- Automatische Backups mit Verschlüsselung
- Audit-Logging aller datenschutzrelevanten Zugriffe
§ 7 Unterauftragsverarbeiter
Folgende Unterauftragsverarbeiter werden eingesetzt:
| Dienstleister | Zweck | Standort |
|---|
| Vercel Inc. | Hosting | EU (Frankfurt) |
| Neon Inc. | Datenbank | EU |
| Anthropic PBC | KI-Analyse | USA (SCCs) |
| Stripe Inc. | Zahlungsabwicklung | EU/USA (SCCs) |
| Amazon Web Services | E-Mail-Versand | EU (Frankfurt) |
§ 8 Rechte des Verantwortlichen
Der Verantwortliche kann jederzeit über die Plattform-Einstellungen:
- Einen vollständigen Datenexport anfordern (Art. 15 DSGVO)
- Die Löschung aller Daten beantragen (Art. 17 DSGVO)
- Audit-Logs einsehen
Stand: Februar 2026