nach Art. 28 DSGVO zwischen dem Kunden (nachfolgend „Verantwortlicher") und S&W Digital Solutions GbR (nachfolgend „Auftragsverarbeiter"). Dieser AVV ist Anlage 1 zu den Allgemeinen Geschäftsbedingungen und gilt ergänzend zur Datenschutzerklärung.
(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der SaaS-Plattform „SW" unter sw-ds.de (nachfolgend „Plattform") für den Verantwortlichen.
(2) Die Verarbeitung beginnt mit Aktivierung des Kunden-Accounts nach § 2 AGB und endet mit der vollständigen Beendigung des Hauptvertrages (AGB) sowie den nach § 14 dieses AVV vorgesehenen Lösch- und Rückgabefristen.
(3) Auftraggeber/Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist die Versicherungsagentur, die den Account betreibt, und entscheidet eigenständig über Zwecke und Mittel der Verarbeitung der von ihr in die Plattform eingegebenen Daten Dritter.
(4) Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO ist S&W Digital Solutions GbR, Am Nachbarsberg 20, 42781 Haan, info@sw-ds.de.
(1) Art der Verarbeitung: Speicherung, Veränderung, Auslesen, Übermittlung (an Subunternehmer nach § 9), Strukturierung, Anpassung und Löschung im Rahmen des Plattform-Betriebs.
(2) Zweck der Verarbeitung: Bereitstellung der vom Verantwortlichen gebuchten Funktionsmodule der Plattform — insbesondere Verwaltung eigener Mitarbeiter (Profile), Empfehler-Verwaltung, Lead- und Pipeline-Management, Buchungs-Tool, Kündigungs-Tool, Booking-Tool, EES-Signaturen (eIDAS Art. 25 Abs. 1) und transaktionaler E-Mail-Versand. Optionale Module (Superchat-Integration, KI-Funktionen) werden nur auf ausdrückliche Aktivierung durch den Verantwortlichen genutzt.
(3) Umfang der Verarbeitung: ausschließlich solche Daten, die der Verantwortliche oder von ihm berechtigte Personen aktiv in die Plattform eingeben oder die durch externe Eingaben Dritter im Auftrag des Verantwortlichen erzeugt werden (z. B. Lead-Eintragung über öffentlichen Empfehlungs-Link, Buchung eines Termins über einen öffentlichen Booking-Link).
(4) Die Verarbeitung erfolgt zugunsten und auf Weisung des Verantwortlichen ausschließlich innerhalb der Europäischen Union; Übermittlungen in Drittländer sind in § 10 abschließend geregelt.
Verarbeitet werden insbesondere folgende Datenkategorien — abhängig davon, welche Module der Verantwortliche nutzt:
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Als dokumentierte Weisung gelten insbesondere die AGB, dieser AVV und die durch das Tool angebotenen Funktionen. Eine darüber hinausgehende Verarbeitung erfolgt nur, soweit dies durch das Recht der Union oder das Recht eines Mitgliedstaates verlangt wird; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen (siehe § 8 und Anlage A).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (§ 11) sowie bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.
(5) Der Auftragsverarbeiter benennt einen festen Ansprechpartner für datenschutzrechtliche Fragen: info@sw-ds.de.
(6) Der Auftragsverarbeiter führt ein Verzeichnis aller Verarbeitungstätigkeiten gem. Art. 30 Abs. 2 DSGVO und stellt es dem Verantwortlichen auf Anfrage zur Verfügung.
(1) Der Verantwortliche ist im datenschutzrechtlichen Außenverhältnis gegenüber den Betroffenen für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung von deren Rechten verantwortlich (Art. 24 DSGVO).
(2) Der Verantwortliche stellt insbesondere sicher, dass für die über die Plattform eingegebenen Daten Dritter eine taugliche Rechtsgrundlage besteht (Einwilligung, Vertragserfüllung, berechtigtes Interesse, gesetzliche Pflicht), und dass Betroffene gemäß Art. 13/14 DSGVO informiert sind.
(3) Der Verantwortliche entscheidet über Aktivierung optionaler Module (insbesondere KI-Funktionen, Superchat-Integration). Die Aktivierung gilt als Weisung im Sinne dieses AVV.
(4) Der Verantwortliche wählt im Rahmen der Plattform-Konfiguration keine besonderen Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO ohne vorherige Abstimmung mit dem Auftragsverarbeiter. Die Plattform ist nicht für die Verarbeitung von Gesundheitsdaten ausgelegt.
(5) Der Verantwortliche meldet dem Auftragsverarbeiter unverzüglich Mängel der Plattform mit Datenschutz-Bezug (info@sw-ds.de).
(1) Der Verantwortliche erteilt Weisungen vorrangig in Textform (E-Mail an info@sw-ds.de) oder durch entsprechende Konfiguration in der Plattform.
(2) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, teilt er dies dem Verantwortlichen unverzüglich mit. Der Auftragsverarbeiter ist berechtigt, die Durchführung der Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.
Der Auftragsverarbeiter trifft die in Anlage A beschriebenen Maßnahmen gem. Art. 32 DSGVO. Die TOMs werden regelmäßig überprüft und bei Bedarf an den Stand der Technik angepasst. Wesentliche Änderungen sind dem Verantwortlichen mitzuteilen.
(1) Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung zur Heranziehung der in Anlage B aufgeführten Subunternehmer (Art. 28 Abs. 2 Satz 2 DSGVO).
(2) Beabsichtigte Änderungen der Subunternehmer-Liste (Hinzunahme oder Austausch) wird der Auftragsverarbeiter dem Verantwortlichen mit einer Vorlauffrist von mindestens vier (4) Wochen in Textform mitteilen, sodass der Verantwortliche Einspruch einlegen kann. Legt der Verantwortliche fristgerecht Einspruch ein und ist dem Auftragsverarbeiter der Verzicht auf den betreffenden Subunternehmer nicht mit zumutbarem Aufwand möglich, ist der Verantwortliche berechtigt, den Hauptvertrag mit Wirkung zum geplanten Einsatz des Subunternehmers zu kündigen.
(3) Der Auftragsverarbeiter verpflichtet seine Subunternehmer schriftlich auf datenschutzrechtliche Pflichten, die mindestens denen dieses AVV entsprechen (Art. 28 Abs. 4 DSGVO).
(4) Nicht als Subunternehmer im Sinne dieses Vertrags gelten: Telekommunikationsanbieter, Postdienste, sowie Versicherer- Empfänger einer vom Verantwortlichen veranlassten Übermittlung (z. B. Versand einer Vollmacht).
(1) Eine Übermittlung in Drittländer erfolgt ausschließlich an die in Anlage B genannten Subunternehmer mit Sitz in den USA. Garantien gemäß Kapitel V DSGVO:
(2) Eine Übermittlung in Drittländer ohne Angemessenheitsbeschluss und ohne SCC erfolgt nicht.
(1) Wenden sich Betroffene mit Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- oder Widerspruchs-Verlangen direkt an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter und antwortet selbst nicht inhaltlich.
(2) Auf Anfrage des Verantwortlichen unterstützt der Auftragsverarbeiter bei:
(3) Routine-Anfragen, die der Verantwortliche selbst über die Plattform-Funktionen abwickeln kann (z. B. Löschung eines Datensatzes), sind kostenfrei. Über den üblichen Rahmen hinausgehender Aufwand kann nach Aufwand vergütet werden.
(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, spätestens jedoch binnen 72 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten, die in seinem Verantwortungsbereich oder dem seiner Subunternehmer eingetreten sind.
(2) Die Mitteilung enthält mindestens die Angaben nach Art. 33 Abs. 3 DSGVO, soweit diese dem Auftragsverarbeiter bekannt sind: Art der Verletzung, Kategorien und ungefähre Zahl der Betroffenen, Kategorien und ungefähre Zahl der betroffenen Datensätze, Folgen, ergriffene oder vorgeschlagene Maßnahmen.
(3) Eine Meldung des Auftragsverarbeiters an die Aufsichtsbehörde des Verantwortlichen (Art. 33 Abs. 1 DSGVO) erfolgt nicht; diese Meldung obliegt allein dem Verantwortlichen.
Der Auftragsverarbeiter ist nach Art. 37 Abs. 1 DSGVO i. V. m. § 38 BDSG aufgrund der Größe der Organisation derzeit nicht verpflichtet, einen Datenschutzbeauftragten zu benennen. Ansprechpartner für Datenschutz-Fragen ist info@sw-ds.de.
(1) Nach Beendigung des Hauptvertrages (AGB) löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten Daten einschließlich aller Kopien innerhalb von 90 Tagen, soweit nicht nach EU- oder mitgliedstaatlichem Recht eine längere Speicherung vorgeschrieben ist (z. B. handels- oder steuerrechtliche Aufbewahrungspflichten).
(2) Der Verantwortliche kann jederzeit vor Ablauf der Lösch-Frist einen Daten-Export im strukturierten, gängigen, maschinenlesbaren Format (z. B. JSON, CSV) anfordern.
(3) Backups, die personenbezogene Daten enthalten, werden im Zuge des regulären Backup-Zyklus überschrieben. Während dieser Übergangszeit sind die Daten weiterhin durch die TOMs nach Anlage A geschützt.
(4) Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage in Textform.
(1) Für die Haftung im datenschutzrechtlichen Außenverhältnis gilt Art. 82 DSGVO.
(2) Im Innenverhältnis zwischen den Parteien gelten ergänzend die Haftungsregelungen der AGB (§ 8). Eine darüber hinausgehende Haftungsbegrenzung wird durch diesen AVV nicht begründet.
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Schriftform-Erfordernisses.
(2) Dieser AVV unterliegt deutschem Recht.
(3) Sollte eine Bestimmung dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt die gesetzlich zulässige Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
(4) Im Verhältnis dieses AVV zu den AGB hat im Falle von Widersprüchen dieser AVV Vorrang in datenschutzrechtlichen Fragen.
sw_session
+ sw_profile, beide HttpOnly, SameSite Lax/Strict,
Secure in Produktion). Optional Profil-PIN oder Profil-Passwort
für jeden Mitarbeiter.agencyId-Filter in jedem Lese-/
Schreib-Zugriff (technisch in der Anwendungsschicht durchgesetzt).
Cross-Tenant-Versuche werden durch den Profile-Cookie-HMAC und
den Session-Lookup blockiert.fra1 (Frankfurt am Main); Edge-Caching/CDN
global, kein PII-Caching.Stand: Juni 2026. Aktualisierte Fassung jederzeit auf Anfrage.
| Subunternehmer | Zweck | Sitz | Drittland-Garantien |
|---|---|---|---|
| Vercel Inc. | Hosting (Server, CDN, Edge-Runtime); Region fra1 (Frankfurt) für Compute |
USA | EU-US-DPF / SCC 2021/914 |
| Vercel Inc. (Analytics + Speed Insights) | Reichweiten-/Performance-Analyse — nur bei Cookie-Einwilligung des Besuchers | USA | EU-US-DPF / SCC 2021/914 |
| Resend, Inc. | Versand transaktionaler E-Mails (Welcome, Reset, Signatur-Anfrage, Bestätigungen) | USA | EU-US-DPF / SCC 2021/914 |
| ChiselStrike, Inc. (Turso) | Datenbank-Hosting (libSQL) | Region-abhängig | SCC 2021/914 soweit Drittland |
| Anthropic, PBC | KI-Funktionen (nur bei Aktivierung durch den Verantwortlichen) | USA | EU-US-DPF / SCC 2021/914 |
| Uptime Robot Service Corp. | Verfügbarkeits-Monitoring (Health-Checks ohne personenbezogene Daten) | USA | SCC 2021/914 (DPA mit Auftraggeber abgeschlossen) |
| Superchat GmbH | Optionale Messaging-Integration (nur bei Aktivierung) | Deutschland | nicht erforderlich (EU) |
Stand: Juni 2026 · Version 1.1 · Anlage 1 zu den AGB