1. Gegenstand, Dauer, Ort der Verarbeitung 1.1 Gegenstand. Der AV verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten zur Durchführung von Lead‑Recherche, Profil‑/Firmendaten‑Anreicherung, Datenkonsolidierung, Dubletten‑Management, Qualifizierung/Scoring sowie technischem Sync in die Systeme des Verantwortlichen (z. B. CRM/ATS/Marketing‑Automation) einschließlich Logging, Monitoring und Fehlerbehebung. 1.2 Dauer. Dieser AVV beginnt mit Zustimmung der Nutzungsbedingungen und gilt für die Laufzeit des Hauptvertrags. Nach Vertragsende gelten die Regelungen zur Löschung/Rückgabe (Ziff. 10). 1.3 Verarbeitungsorte. Grundsätzlich EU/EWR. Eine Verarbeitung in Drittländern erfolgt nur, sofern (i) in Anlage 2 als Unterauftragsverarbeiter benannt und (ii) geeignete Garantien i. S. v. Art. 44 ff. DSGVO bestehen (insb. EU‑SCC), vgl. Anlage 3. 2. Art und Zweck der Verarbeitung; Datenkategorien; Betroffene 2.1 Zweck. Durchführung der in 1.1 beschriebenen Leistungen ausschließlich auf dokumentierte Weisung des Verantwortlichen.

2.2 Datenkategorien. Berufsbezogene Kontaktdaten: Name, berufliche E‑Mail, Telefonnummer(n), Position/Funktionsbezeichnung, Abteilung, LinkedIn‑/Web‑Profile (sofern öffentlich/rechtmäßig verfügbar), dienstliche Anschrift. Firmendaten/Metadaten: Unternehmen, Branche, Größe, Standorte, Websites, Karriere‑/Stellenanzeigen‑Informationen, Quellen‑URLs, Recherche‑Zeitstempel, System‑IDs, Nutzungs‑/Protokolldaten. 2.3 Kategorien betroffener Personen. Mitarbeiter/Ansprechpartner von Unternehmen (B2B), Bewerber‑/Kandidatenkontakte (sofern vom Verantwortlichen bereitgestellt), sonstige vom Verantwortlichen benannte Betroffene. 2.4 Besondere Kategorien. Es werden keine besonderen Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO verarbeitet. Der Verantwortliche übermittelt dem AV solche Daten nicht; andernfalls ist vorab eine schriftliche Erweiterung dieses AVV erforderlich. 3. Rollen, Weisungen, Verantwortlichkeiten 3.1 Verantwortlicher. Der Kunde ist Verantwortlicher i. S. d. DSGVO. Er trägt die Verantwortung für Rechtmäßigkeit, Transparenz (Art. 12–14 DSGVO), Rechtsgrundlage (z. B. berechtigtes Interesse, Einwilligung), kanalbezogene Zulässigkeit (insb. UWG/ePrivacy) und Betroffenenrechte. 3.2 Auftragsverarbeiter. Der AV verarbeitet Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weist der AV auf aus seiner Sicht rechtswidrige Weisungen hin, ruhen die entsprechenden Verarbeitungshandlungen bis zur Klärung. 3.3 Weisungsform. Weisungen werden schriftlich in Ticket/E‑Mail/Vertrag/Tool‑Konfiguration dokumentiert. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. 3.4 Marketing‑Gating (kanalbezogen). Der AV führt keine eigenständigen Marketing‑/Kontaktmaßnahmen durch. Der AV implementiert auf Weisung technische Gates (z. B. „keine E‑Mail ohne Einwilligung“, Sperrlisten/Opt‑outs, DNC‑Flags) und synchronisiert diese mit den Systemen des Verantwortlichen. 4. Vertraulichkeit & Sicherheit 4.1 Vertraulichkeit. Der AV verpflichtet alle mit der Verarbeitung betrauten Personen schriftlich auf Vertraulichkeit und auf die Beachtung des Datengeheimnisses. 4.2 TOM (Art. 32 DSGVO). Der AV unterhält geeignete technische und organisatorische Maßnahmen gemäß Anlage 1 (Stand: 13.10.2025). Änderungen, die das Sicherheitsniveau nicht wesentlich verringern, bleiben vorbehalten. 4.3 Datenschutzverletzungen. Der AV meldet dem Verantwortlichen unverzüglich, idealerweise binnen 24 Stunden, Verletzungen des Schutzes personenbezogener Daten mit den in Art. 33 Abs. 3 DSGVO genannten Inhalten. 5. Unterstützungspflichten des AV Der AV unterstützt den Verantwortlichen angemessen bei: Auskunft/Berichtigung/Löschung/Einschränkung/Übertragbarkeit/Widerspruch (Art. 15–22 DSGVO), Sicherheits‑/Datenschutz‑Folgenabschätzungen (Art. 35/36 DSGVO), Erfüllung von Informationspflichten bei indirekter Erhebung (Art. 14 DSGVO) im Rahmen der durch den Verantwortlichen vorgegebenen Prozesse, Nachweis‑ und Dokumentationspflichten (Art. 5 Abs. 2, Art. 24, Art. 30 DSGVO). Aufwände, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, werden angemessen vergütet. 6. Unterauftragsverarbeiter (Sub‑Processor) 6.1 Allgemeine Genehmigung. Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern (Art. 28 Abs. 2 DSGVO), wie in Anlage 2 gelistet. Der AV informiert den Verantwortlichen vorab (mind. 14 Tage) über geplante Änderungen; der Verantwortliche kann aus wichtigem Grund widersprechen. 6.2 Gleichwertige Pflichten. Der AV verpflichtet Unterauftragsverarbeiter vertraglich zu mindestens gleichwertigen Datenschutzpflichten inkl. TOM, Audit‑/Informationsrechten, Löschung, Drittlandgarantien (SCC). 6.3 Drittlandübermittlungen. Bei Übermittlungen in Drittländer stellt der AV geeignete Garantien sicher (SCC; zusätzliche Maßnahmen), siehe Anlage 3. 7. Kontrollen, Nachweise, Audits 7.1 Nachweise. Der AV stellt auf Anfrage geeignete Nachweise zur Umsetzung der TOM und zur Einhaltung dieses AVV bereit (z. B. Policies, Protokolle, Pen‑Test‑Berichte/Exzerpte, Zertifikate, SOC/ISO‑Ausschnitte, sofern vorhanden). 7.2 Audits. Der Verantwortliche ist berechtigt, Audits/Inspektionen (auch vor Ort) nach angemessener Vorankündigung (i. d. R. 14 Tage) während üblicher Geschäftszeiten durchzuführen. Audits erfolgen unter Wahrung von Betriebs‑/Geschäftsgeheimnissen; Ergebnisse, die Dritte betreffen, können geschwärzt werden. Häufigkeit i. d. R. 1× pro 12 Monate.

8. Datenrückgabe und Löschung 8.1 Ende der Verarbeitung. Nach Vertragsende (oder auf Weisung) löscht oder gibt der AV sämtliche personenbezogenen Daten an den Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. 8.2 Löschkonzept. Der AV unterhält ein dokumentiertes Lösch‑/Aufbewahrungskonzept (Regel‑Löschfristen, Sperrung statt Verarbeitung, Backup‑Löschfenster). Löschungen werden protokolliert. 9. Haftung Die Parteien haften nach den gesetzlichen Bestimmungen. Der AV haftet für Verstöße eigener Pflichtverletzungen und der von ihm eingesetzten Unterauftragsverarbeiter nach Maßgabe der DSGVO (Art. 82) und des Hauptvertrags.

10. Schlussbestimmungen 10.1 Schriftform. Änderungen/Ergänzungen dieses AVV bedürfen der Schriftform (auch elektronisch). 10.2 Vorrang. Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen gehen die Regelungen dieses AVV vor. 10.3 Anwendbares Recht/Gerichtsstand. Deutsches Recht; Gerichtsstand gemäß Hauptvertrag. 11. Inkrafttreten und Unterzeichnung Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil des Hauptvertrags zwischen den Parteien und tritt mit dessen Unterzeichnung in Kraft. Die Zustimmung des Auftraggebers zur Auftragsverarbeitung erfolgt durch die Unterzeichnung des Hauptvertrags / Angebots, welches ausdrücklich auf diese „Anlage 1 – Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO)“ verweist. Eine gesonderte Unterschrift unter diesem Dokument ist nicht erforderlich.

Anlage 1 – Technische und organisatorische Maßnahmen (TOM) (Beispielhafte, anpassbare Maßnahmen. Konkrete Umsetzung/Tools bitte ergänzen.) Organisatorisch Datenschutz‑Policy, Rollen‑/Berechtigungskonzept, Need‑to‑know‑Prinzip. Vertraulichkeitsverpflichtungen, Schulungen min. jährlich; On‑/Offboarding‑Checklisten. Lieferanten‑/Sub‑Processor‑Management (DPA/SCC‑Prüfung, jährliche Reviews). ​ Zutritts-/Zugangskontrolle Rechenzentrum (ISO 27001) bei Cloud‑Providern; VPN/MFA für Adminzugänge. Starke Authentifizierung (MFA), Passwort‑Richtlinie, SSO wo möglich. ​ Zugriffskontrolle & Berechtigungen Rollenbasiert (RBAC), Least Privilege, 4‑Augen‑Prinzip für produktive Änderungen. Regelmäßige Rezertifizierung von Berechtigungen; Session‑Timeouts. ​​ Weitergabekontrolle TLS ≥1.2 für Transport; Verschlüsselung ruhender Daten (z. B. AES‑256 bei Cloud‑Speichern). DLP‑Regeln, Freigabe‑/Export‑Policies, Protokollierung von Exports/Downloads. Eingabekontrolle/Protokollierung Änderungs‑/Zugriffslogs mit Zeitstempel, unveränderliche Audit‑Trails (sofern systemseitig). Überwachung auf auffällige Aktivitäten, Alerting. Auftragskontrolle Verarbeitung ausschließlich gemäß dokumentierter Weisung (Ticket/Runbook). Vertrags‑/Weisungsmanagement, jährliche Reviewprozesse. Verfügbarkeitskontrolle Georedundante Backups, Wiederherstellungstests, RTO/RPO‑Ziele; Patch‑/Vulnerability‑Management. Incident‑/BCP‑/DR‑Pläne, Eskalationsmatrix. Trennungskontrolle & Datenminimierung Strikte Mandantentrennung pro Kunden‑Workspace/Sub‑Account. Pseudonymisierung/Maskierung in Nicht‑Produktivsystemen. Speicherbegrenzung: Lösch‑/Archivregeln (z. B. 6–12 Monate ohne Reaktion). Zusätzliche Maßnahmen bei Drittlandtransfers Standardvertragsklauseln (EU 2021/914, Modul 2/3) mit TIA (Transfer Impact Assessment). Schlüsselverwaltung ausschließlich in EU/EWR, soweit technisch möglich. Minimierung auf berufliche Kontaktdaten; keine sensiblen Daten; Zugriff nach Need‑to‑know