Fynspark Beta-Phase · Die Plattform befindet sich aktuell in einer offenen Beta. Einzelne Funktionen können sich noch ändern. Beta-Richtlinie
Hilfe-Center Support & Rechtliches AVV (Auftragsverarbeitung Art. 28 DSGVO) akzeptieren

AVV (Auftragsverarbeitung Art. 28 DSGVO) akzeptieren

Auftragsverarbeitungsvertrag nach DSGVO Art. 28 mit einem Klick abschließen — für jeden B2B-Nutzer Pflicht.

⏱ 6 Min Lesezeit

Was ein AVV ist

Ein Auftragsverarbeitungsvertrag (AVV) ist nach DSGVO Artikel 28 vorgeschrieben, sobald du einen Dienstleister einsetzt, der in deinem Auftrag personenbezogene Daten Dritter verarbeitet.

Wenn du also Fynspark nutzt, um:

  • Kundendaten zu verarbeiten (z. B. Newsletter-Listen, Kunden-Personas)
  • Mitarbeiterdaten in Texten zu verwenden
  • Marketing-Daten (Lead-Listen, B2B-Kontakte)

...dann brauchst du einen AVV mit Fynspark. Ohne AVV ist die Verarbeitung rechtswidrig.

Ohne AVV: Bußgeld-Risiko bis zu 4 % vom Jahresumsatz oder 20 Mio. €.

Wann ich KEINEN AVV brauche

  • Wenn du nur eigene Inhalte verarbeitest, die keine personenbezogenen Daten Dritter enthalten
  • Wenn du rein anonym arbeitest

Für die meisten gewerblichen Nutzer (insbesondere Agenturen) ist der AVV trotzdem ratsam — du weißt nie, wann personenbezogene Daten unbeabsichtigt im Text landen.

So funktioniert die Annahme — Schritt für Schritt

Schritt 1: AVV-Seite aufrufen

Direkt unter /auftragsverarbeitung — auch ohne Login zugänglich (zum Lesen).

Schritt 2: Vertragstext lesen

Der vollständige Vertragstext umfasst:

  • Vertragsgegenstand (was wird verarbeitet)
  • Dauer der Verarbeitung
  • Art und Zweck der Datenverarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Technische und organisatorische Maßnahmen (TOMs)
  • Sub-Unternehmer-Liste (z. B. AWS Frankfurt, OpenAI, Anthropic, Stripe)
  • Lösch- und Rückgabepflichten nach Vertragsende
  • Kontrollrechte des Auftraggebers
  • Haftung und Schadensersatz

Schritt 3: AVV akzeptieren

Klick „AVV akzeptieren" → Bestätigung wird mit:

  • Zeitstempel (Datum + Uhrzeit)
  • AVV-Version (z. B. „AVV v3.2 — Stand 2026-04-01")
  • Account-ID
  • IP-Adresse

als rechtskonforme elektronische Annahme dokumentiert (vergleichbar mit elektronischer Unterschrift).

Schritt 4: Download

Du bekommst direkt ein PDF mit dem unterschriebenen Dokument zum Download.

Dieses PDF enthält:

  • Vollständigen Vertragstext
  • Beide Parteien (du als Auftraggeber, Fynspark als Auftragsverarbeiter)
  • Annahme-Metadaten (Datum, Account, Version)

Speicher es in deinen Datenschutz-Akten.

Im Konto verwalten

Sidebar → Profil → Rechtliches zeigt:

  • Status (akzeptiert seit Datum, Version)
  • Aktuell gültige AVV-Version
  • Download der signierten AVV (jederzeit)
  • Historie (alle akzeptierten Versionen mit Datum)

Versions-Updates

Wenn wir die AVV aktualisieren (z. B. neuer Sub-Unternehmer, neue rechtliche Anforderung):

  • Du bekommst eine E-Mail-Notification mit Vorschau der Änderungen
  • 30 Tage Zeit zur Annahme der neuen Version
  • Im Konto erscheint ein Banner zur Bestätigung
  • Bei Nicht-Annahme nach 30 Tagen: weitere Nutzung untersagt (technisch eingeschränkt)

TOMs (Technische und Organisatorische Maßnahmen)

Im AVV dokumentiert, was wir tun, um deine Daten zu schützen:

  • Server-Standort: EU (AWS Frankfurt + Hetzner Deutschland)
  • Verschlüsselung: AES-256 at rest, TLS 1.3 in transit
  • Zugriffs-Kontrollen: Multi-Faktor-Auth für Admins
  • Audit-Logs: vollständige Nachverfolgbarkeit
  • Backup-Strategie: täglich, 30 Tage Retention
  • Disaster-Recovery: dokumentierte Failover-Prozedur
  • ISO 27001 (in Vorbereitung)
  • Penetration-Tests: jährlich

Detail-Auflistung im AVV-Anhang B.

Sub-Unternehmer

Wir nutzen folgende Sub-Unternehmer (Stand 2026):

  • Hosting: Hetzner Online GmbH (Deutschland)
  • AI-Provider: OpenAI Inc. (USA — mit Standard-Vertragsklauseln) + Anthropic PBC (USA — mit SCC)
  • Mail-Versand: Postmark / SendGrid (transactional)
  • Payment: Stripe Payments Europe Ltd. (Irland)
  • Cookie-Management: Usercentrics GmbH (Deutschland)
  • Monitoring: Sentry (US-Cloud — mit SCC)

Bei Wechsel oder neuem Sub-Unternehmer: 30 Tage Vorab-Information per E-Mail.

Tipps

Tipp 1: AVV sofort beim ersten Login akzeptieren. Vergessen ist gefährlich — danach in Datenschutz-Mappe ablegen.

Tipp 2: Bei Kunden-Audits griffbereit haben. Bei DSGVO-Audits gefragt: „Welche Sub-Verarbeiter nutzt euer Werkzeug?" — AVV ist die Antwort.

Tipp 3: Bei AVV-Updates lesen, was sich ändert. Nicht blind klicken — manchmal kommen neue Sub-Verarbeiter dazu, die für dich relevant sind.

Tipp 4: Bei Konzernen mehrere AVVs. Wenn ihr für mehrere Mandanten arbeitet, jede Tochtergesellschaft schließt eigenen AVV.

Häufige Fragen

Brauche ich den AVV auch als Solo-Selbstständiger? Wenn du Daten Dritter verarbeitest: ja. Auch als Einzelperson.

Kostet der AVV Geld? Nein. Standard-AVV ist im Service enthalten.

Kann ich den AVV als PDF unterschreiben (analog) statt digital? Auf Anfrage. Schreib an datenschutz@fynspark.com — typisch für Konzerne mit eigenen Prozessen.

Was, wenn meine Rechts-/Datenschutz-Abteilung Änderungen will? Bei Standard-Plan: nicht verhandelbar (Mengen-Geschäft). Bei Business-Plan: individueller AVV möglich (Aufpreis).

Wo finde ich die aktuelle AVV-Version? Immer unter /auftragsverarbeitung — oben steht die aktuelle Version mit Datum.

Was, wenn ein Sub-Unternehmer wechselt? Mail-Notification 30 Tage vorher + Möglichkeit zur Kündigung wenn du nicht einverstanden bist.

Verwandte Artikel

Brauchst du Hilfe?

Antwort nicht gefunden? Wir helfen dir.

Schreib uns über den Live-Chat in der App oder über das Kontaktformular.

Zum Kontaktformular