Einloggen

mandera Auftragsverarbeitungsvertrag (AVV) 

Einleitung

Dieser Auftragsverarbeitungsvertrag („AVV“) beschreibt, wie mandera personenbezogene Daten im Auftrag seiner Kunden gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO) verarbeitet.

mandera ist als Privacy-First-Plattform konzipiert. Bestimmte Teile des mandera-Services sind so ausgestaltet, dass sie ohne Verarbeitung personenbezogener Daten betrieben werden. Andere Teile des Services können – abhängig von der konkreten Nutzung – die Verarbeitung personenbezogener Daten beinhalten.

Dieser AVV wird mit Abschluss des zugrunde liegenden Vertrags über die Nutzung des mandera-Services automatisch wirksam und ist Bestandteil der vertraglichen Beziehung zwischen mandera und seinen Kunden. Eine gesonderte Unterzeichnung ist nicht erforderlich.

1. Rollen & Anwendungsbereich

Im Rahmen der DSGVO haben mandera und seine Kunden klar definierte Rollen:

  • Der Kunde ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten.
  • mandera ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO und verarbeitet personenbezogene Daten ausschließlich im Auftrag des Kunden sowie auf Grundlage dokumentierter Weisungen.

Dieser AVV gilt ausschließlich für Verarbeitungsvorgänge, bei denen personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet werden.

mandera stellt innerhalb des Services unterschiedliche Funktionsbereiche bereit:

  • Analysefunktionen sind so konzipiert, dass sie ausschließlich mit aggregierten und anonymisierten Daten arbeiten, die keinen Bezug zu einer identifizierten oder identifizierbaren natürlichen Person aufweisen. Die Verarbeitung solcher Daten stellt keine Verarbeitung personenbezogener Daten im Sinne der DSGVO dar und fällt daher nicht in den Anwendungsbereich der DSGVO und dieses AVV.
  • Andere Funktionen des Services, insbesondere Account-Verwaltung, KI-gestützte Funktionen, Kommunikation sowie Abrechnung, können die Verarbeitung personenbezogener Daten beinhalten und unterliegen daher der DSGVO sowie diesem AVV.

2. Gegenstand und Zweck der Verarbeitung

mandera verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung und des Betriebs des mandera-Services und ausschließlich auf dokumentierte Weisung des Verantwortlichen.

Dies umfasst insbesondere:

  • die Einrichtung und Authentifizierung von Nutzerkonten,
  • die Bereitstellung KI-gestützter Funktionen und durch Nutzer initiierter Funktionalitäten,
  • die Verwaltung von Abonnements und Abrechnungen,
  • die Kundenkommunikation sowie Supportleistungen,
  • die Gewährleistung von Sicherheit, Wartung und Funktionsfähigkeit des Services.

mandera verarbeitet personenbezogene Daten nicht zu eigenen, unabhängigen Zwecken und verkauft oder übermittelt personenbezogene Daten nicht für Werbe-, Tracking- oder Profiling-Zwecke.

3. Kategorien personenbezogener Daten

Abhängig von der konkreten Nutzung des Services kann mandera im Auftrag des Verantwortlichen folgende Kategorien personenbezogener Daten verarbeiten:

  • Kontaktdaten (z. B. Name und E-Mail-Adresse),
  • Account- und Abonnementinformationen,
  • vom Nutzer bereitgestellte Eingaben und Inhalte im Zusammenhang mit KI-gestützten Funktionen,
  • Kommunikationsdaten (z. B. Supportanfragen und Nachrichten),
  • technisch erforderliche servicebezogene Daten zur Bereitstellung und Verwaltung des Nutzerkontos.

mandera verarbeitet keine personenbezogenen Daten von Website-Besuchern zu Analyse- oder Trackingzwecken. Analysedaten werden ausschließlich in aggregierter und anonymisierter Form erhoben und verarbeitet, ohne Einsatz von Cookies, IP-Adressen, Fingerprinting oder Nutzerprofiling.

4. Weisungen und Verantwortlichkeiten

mandera verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung und Konfiguration des mandera-Services durch den Verantwortlichen gelten als dokumentierte Weisungen im Sinne dieses AVV.

Der Verantwortliche ist insbesondere verantwortlich für:

  • das Vorliegen einer gültigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten gemäß Art. 6 DSGVO,
  • die Einhaltung der anwendbaren datenschutzrechtlichen Vorschriften,
  • die Erfüllung von Informationspflichten gegenüber betroffenen Personen gemäß Art. 13 und 14 DSGVO.

mandera ist verantwortlich für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO.

5. Technische und organisatorische Maßnahmen

mandera trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.

  • verschlüsselte Datenübertragung,
  • rollenbasierte Zugriffskontrollen,
  • logische Trennung von Kundendaten innerhalb einer Multi-Tenant-Architektur,
  • Systemüberwachung und Protokollierung,
  • Maßnahmen zur Sicherstellung der Integrität und Vertraulichkeit von Daten.

Weitergehende Informationen zu den technischen und organisatorischen Maßnahmen können auf begründete Anfrage zur Verfügung gestellt werden.

6. Unterauftragsverarbeiter

mandera ist berechtigt, zur Erbringung des Services Unterauftragsverarbeiter (Subprozessoren) einzusetzen, beispielsweise für Hosting, Infrastruktur, E-Mail-Versand oder Abrechnungsdienstleistungen. Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung im Sinne von Art. 28 Abs. 2 DSGVO zur Beauftragung von Unterauftragsverarbeitern.

mandera stellt sicher, dass sämtliche Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten verpflichtet werden, die den Anforderungen dieses AVV sowie den Vorgaben des Art. 28 DSGVO entsprechen.

6.1 Aktueller Unterauftragsverarbeiter (E-Mail-Versand)

Unterauftragsverarbeiter: Resend (Plus Five Five, Inc.)
Zweck: Transaktionaler E-Mail-Versand (z. B. Account-Verifizierung, Passwort-Zurücksetzung, Systembenachrichtigungen)
Verarbeitete Daten: E-Mail-Adresse, Name (sofern angegeben), E-Mail-Inhalte
Standort: Vereinigte Staaten von Amerika
Rechtsgrundlage für Drittlandübermittlung: EU-US Data Privacy Framework (DPF) sowie Standardvertragsklauseln (SCCs); ergänzende Sicherheitsmaßnahmen (u. a. SOC 2 Type II)
DPA: https://resend.com/legal/dpa

Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter kann auf Anfrage zur Verfügung gestellt werden. mandera wird den Verantwortlichen über wesentliche Änderungen hinsichtlich eingesetzter Unterauftragsverarbeiter informieren, sofern dies nach anwendbarem Datenschutzrecht erforderlich ist.

7. Unterstützung bei Betroffenenrechten

mandera unterstützt den Verantwortlichen im Rahmen der technischen Möglichkeiten bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen gemäß Art. 12 bis 22 DSGVO. Dies umfasst insbesondere die Unterstützung bei der Bearbeitung von Anträgen auf:

  • Auskunft (Art. 15 DSGVO),
  • Berichtigung (Art. 16 DSGVO),
  • Löschung (Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).

8. Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, die personenbezogene Daten betrifft, welche im Rahmen dieses AVV verarbeitet werden, wird mandera den Verantwortlichen unverzüglich informieren. mandera stellt dem Verantwortlichen die für die Erfüllung der gesetzlichen Melde- und Informationspflichten gemäß Art. 33 und 34 DSGVO erforderlichen Informationen zur Verfügung, soweit diese mandera vorliegen.

9. Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie dies zur Erfüllung der jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorsehen.

Nach Beendigung der vertraglichen Beziehung wird mandera die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Weitergehende Informationen sind in der Datenschutzerklärung beschrieben.

10. Prüfungsrechte und Nachweis der Einhaltung

mandera stellt dem Verantwortlichen alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieses AVV nachzuweisen.

Prüfungen können durch den Verantwortlichen oder einen von ihm beauftragten unabhängigen Prüfer durchgeführt werden, sofern diese in angemessenem Umfang erfolgen, mit vorheriger Ankündigung durchgeführt werden und den Geschäftsbetrieb von mandera nicht unangemessen beeinträchtigen.

11. Anwendbares Recht

Dieser AVV unterliegt dem gleichen Recht wie die mandera Allgemeinen Geschäftsbedingungen.

Zuletzt aktualisiert: 28. Januar 2026
Hallo Welt!
Privacy-First AI Analytics, die Daten in Wachstumsstrategien bringt.
DSGVO-konform
Keine Cookies
© 2026 mandera.io
Mit Sorgfalt in Deutschland entwickelt