BraceoBraceo
Free Audit

Rechtliches · Stand: 29.04.2026

Auftragsverarbeitungsvertrag (AVV)

Standard-Vertrag nach Art. 28 DSGVO für die Verarbeitung personenbezogener Daten im Auftrag.

Vorlage — Anwalt-Review ausstehend. Diese Seite ist eine erste Fassung und wird vor Production-Launch von einem auf DSGVO/Datenschutz spezialisierten Anwalt geprüft. Aktuelle Version dient nur Test-/Development-Zwecken — nicht rechtsverbindlich.

📄 AVV-PDF zum Download

Wir stellen allen B2B-Customers eine fertige AVV-Vorlage als PDF zur Verfügung — unterschrieben durch unseren Datenschutzbeauftragten, abgeschlossen nach Art. 28 DSGVO. Du musst nur deine Firmendaten + Unterschrift ergänzen.

AVV-Vorlage downloaden (PDF)Persönliche AVV-Anfrage

PDF-Download wird vor Production-Launch verfügbar gemacht. In der Zwischenzeit: E-Mail-Anfrage.

Was ist ein AVV?

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, wenn ein Dienstleister (hier: Braceo) personenbezogene Daten im Auftrag eines Customers verarbeitet. Der AVV regelt:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Datenverarbeitung
  • Kategorien betroffener Personen + Daten-Typen
  • Pflichten und Rechte des Verantwortlichen + Auftragsverarbeiter
  • Technische und organisatorische Maßnahmen (TOM)
  • Sub-Auftragsverarbeiter
  • Audits und Kontrollrechte

Was Braceo dir verspricht

  • EU-only Datenverarbeitung: Server in Frankfurt, keine Drittland-Transfers
  • Verschlüsselung: TLS 1.3 in transit, AES-256 at rest
  • Sub-Processors voll dokumentiert: Vercel, Neon, Stripe, Clerk, Resend, PostHog, Sentry
  • Audit-Recht: Du kannst jährlich auf Anfrage TOM-Berichte einsehen
  • Notification: Bei Datenschutz-Vorfall benachrichtigen wir dich binnen 72h (DSGVO-Pflicht)
  • Datenrückgabe + Löschung: Bei Vertragsende: vollständige Rückgabe + Löschung nach 90 Tagen

Technisch-Organisatorische Maßnahmen (TOM)

Vertraulichkeit

  • Zutrittskontrolle: Vercel-Datacenters mit ISO 27001 + SOC 2 Type II
  • Zugangskontrolle: Multi-Factor-Authentication für alle Mitarbeiter
  • Zugriffskontrolle: Role-Based-Access-Control (Least-Privilege)
  • Trennungskontrolle: Multi-Tenant-Architektur mit Database-Row-Level-Security

Integrität

  • Eingabekontrolle: Server-Logs mit IP + Timestamp, 14 Tage Retention
  • Weitergabekontrolle: TLS-1.3 für alle Verbindungen, Webhook-Signature-Verification

Verfügbarkeit + Belastbarkeit

  • Verfügbarkeitskontrolle: 99.5% SLA, automatische Backups (täglich, 30 Tage)
  • Wiederherstellbarkeit: Disaster-Recovery-Plan mit RPO 24h / RTO 4h

Verfahren zur regelmäßigen Überprüfung

  • Jährliche Sicherheits-Audits
  • Penetration-Tests vor Major-Releases
  • Continuous Vulnerability-Scanning (Dependabot + Snyk)

Sub-Processors

Eine vollständige, aktuelle Liste der Sub-Processors findest du in unserer Datenschutzerklärung. Bei Änderungen benachrichtigen wir dich mindestens 30 Tage vorher per E-Mail mit Widerspruchsrecht.