Stand: 9. Juni 2026
1. Gegenstand und Dauer
Dieser AVV regelt die Verarbeitung personenbezogener Daten durch sendctl als Auftragsverarbeiter im Auftrag des Kunden. Die Dauer richtet sich nach dem Hauptvertrag und endet grundsätzlich mit dessen Beendigung, soweit keine gesetzlichen Pflichten entgegenstehen.
2. Art und Zweck der Verarbeitung
Zweck ist die Bereitstellung von E-Mail-Infrastruktur für transaktionale Nachrichten, einschließlich Versand, Empfang, Routing, Speicherung, Zustellstatus, Bounces, Suppression, Webhooks, Support und Missbrauchsabwehr.
3. Kategorien personenbezogener Daten
- Absender- und Empfängeradressen, Namen und technische E-Mail-Metadaten.
- Betreff, Text, HTML-Inhalte und Anhänge, soweit vom Kunden übermittelt.
- Zustell-, Bounce-, Complaint-, Unsubscribe- und Webhook-Ereignisse.
- Konto-, Authentifizierungs-, Rollen-, Abrechnungs- und Supportdaten.
4. Kategorien betroffener Personen
Betroffen sein können Kundenmitarbeiter, Endkunden, Interessenten, Empfänger transaktionaler E-Mails, Supportkontakte und sonstige Kommunikationspartner des Kunden.
5. Weisungen des Kunden
Wir verarbeiten personenbezogene Daten nur auf dokumentierte Weisung des Kunden, soweit keine gesetzliche Pflicht zur Verarbeitung besteht. Die Produktkonfiguration, API-Aufrufe und Dashboard-Einstellungen gelten als Weisungen.
6. Vertraulichkeit
Personen mit Zugriff auf personenbezogene Daten werden auf Vertraulichkeit verpflichtet und erhalten Zugriff nur, soweit dies für Betrieb, Support oder Sicherheit erforderlich ist.
7. Technische und organisatorische Maßnahmen
- TLS für Web- und SMTP-Transport, soweit vom Zielsystem unterstützt.
- Rollenbasierte Zugriffe, getrennte Workspaces und API-Key-Scopes nach Produktstand.
- Passwort-Hashing, sichere Session-Cookies und Schutz vor unautorisierten Zugriffen.
- Protokollierung sicherheitsrelevanter Ereignisse und Monitoring von Infrastrukturzustand.
- Backups, Wiederherstellungsprozesse und regelmäßige Aktualisierung der Komponenten.
- Konfigurierbare Aufbewahrung für Anhänge, Logs und E-Mail-Ereignisse nach Produktstand.
8. Unterauftragsverarbeiter
Wir dürfen Unterauftragsverarbeiter einsetzen, soweit dies für Hosting, Zahlungsabwicklung, Support, Infrastruktur oder Sicherheit erforderlich ist. Eingesetzt werden derzeit insbesondere die Hetzner Online GmbH (Deutschland) für Hosting und Infrastruktur sowie die Stripe Payments Europe, Ltd. (Irland) für die Zahlungsabwicklung, sofern Abrechnung aktiviert ist. Kunden werden über wesentliche Änderungen informiert und können aus wichtigem datenschutzrechtlichem Grund widersprechen.
9. Betroffenenrechte und Mitwirkung
Wir unterstützen Kunden angemessen bei der Erfüllung von Betroffenenrechten, Datenschutz-Folgenabschätzungen, Meldepflichten und Nachweisanfragen, soweit dies die Verarbeitung durch sendctl betrifft.
10. Löschung und Rückgabe
Nach Ende des Vertrags werden personenbezogene Daten nach Wahl des Kunden gelöscht oder in einem verfügbaren Format herausgegeben, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigte Sicherheitsinteressen entgegenstehen.
11. Nachweise und Audits
Wir stellen angemessene Informationen zum Nachweis der Einhaltung dieses AVV bereit. Audits erfolgen nach vorheriger Abstimmung, während üblicher Geschäftszeiten und ohne Beeinträchtigung von Sicherheit oder Vertraulichkeit anderer Kunden.