Bondly

Auftragsverarbeitungsvertrag (AVV)

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

zwischen

[Vor- und Nachname]
[Name / Firma des Kunden]
[Anschrift des Kunden]
[PLZ Ort, Land]
– nachfolgend „Verantwortlicher“ oder „Kunde“ –

und

Jakob Schlereth
Heuwaagstraße 2
91054 Erlangen
Deutschland
E-Mail: hello@getbondly.de
– nachfolgend „Auftragsverarbeiter“ oder „Bondly“ –

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch Bondly im Auftrag des Kunden im Zusammenhang mit der Nutzung der Bondly-Software.

Gegenstand der Auftragsverarbeitung sind insbesondere die Bereitstellung und der Betrieb von Funktionen für Kundenbindung, Gutscheine, Wallet-Pässe, Kommunikationsprozesse, Bewertungsmanagement und damit verbundene unterstützende Systemfunktionen, soweit der Kunde Bondly zur Verarbeitung personenbezogener Daten seiner Endkunden einsetzt.

1.2 Dauer

Dieser AVV gilt für die Dauer der Nutzung der Bondly-Software durch den Kunden sowie darüber hinaus, solange Bondly personenbezogene Daten des Kunden im Auftrag verarbeitet.

Er endet spätestens mit vollständiger Löschung oder Rückgabe sämtlicher im Auftrag verarbeiteter personenbezogener Daten, soweit keine gesetzlichen Aufbewahrungspflichten oder im Einzelfall zulässigen Aufbewahrungsgründe entgegenstehen.

2. Art und Zweck der Verarbeitung

Bondly verarbeitet personenbezogene Daten im Auftrag des Kunden zu folgenden Zwecken:

  • Bereitstellung und Betrieb von Loyalty- und Gutscheinprogrammen,
  • Durchführung von Endkunden-Registrierungen und Bestätigungsprozessen,
  • Verwaltung von Kundenprofilen, Besuchen, Einlösungen und Rewards,
  • Versand transaktionaler und – nach Maßgabe des Kunden – marketingbezogener E-Mails,
  • Verwaltung von Kommunikationspräferenzen, Abmeldungen und Suppression-Daten,
  • Bereitstellung, Aktualisierung und technische Zustellung von Wallet-Pässen,
  • Abruf, Anzeige und Bearbeitung von Google-Bewertungen,
  • optionale Bereitstellung unterstützender KI-Funktionen, soweit vom Kunden genutzt,
  • Protokollierung, Sicherheit, Stabilität und technische Fehleranalyse im Zusammenhang mit den beauftragten Verarbeitungen.

3. Art der personenbezogenen Daten und Kategorien betroffener Personen

3.1 Kategorien personenbezogener Daten

Je nach konkret genutzter Funktion können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Stammdaten wie Vorname, Name, E-Mail-Adresse,
  • Teilnahme- und Einwilligungsdaten,
  • Kommunikationsdaten,
  • Zustell-, Öffnungs-, Klick-, Bounce- und Abmeldedaten,
  • Gutschein-, Loyalty- und Besuchsdaten,
  • Warenkorb- bzw. Umsatzwerte bei Einlösungen,
  • interne Notizen des Kunden,
  • Wallet-bezogene Registrierungs- und Gerätedaten,
  • Bewertungsdaten, Review-Texte, Antwortdaten,
  • KI-bezogene Prompt-, Antwort- und Analysedaten, soweit die Funktion genutzt wird,
  • technische Metadaten, Protokolldaten und Systemereignisse im Zusammenhang mit der Verarbeitung.

3.2 Kategorien betroffener Personen

Von der Verarbeitung betroffen sein können insbesondere:

  • Endkunden des Kunden,
  • Interessenten des Kunden,
  • Teilnehmer an Loyalty- oder Gutscheinprogrammen,
  • Empfänger von Kommunikationsmaßnahmen des Kunden,
  • Rezensenten / Nutzer von Bewertungsplattformen,
  • Ansprechpartner und Mitarbeitende des Kunden, soweit dies für Einrichtung, Support und Betrieb erforderlich ist.

4. Rechte und Pflichten des Kunden

4.1 Weisungsrecht

Der Kunde ist für die Rechtmäßigkeit der Verarbeitung sowie die Wahrung der Rechte betroffener Personen verantwortlich. Er allein entscheidet über Zwecke und Mittel der Verarbeitung im Verhältnis zu den durch Bondly im Auftrag verarbeiteten Endkundendaten.

Bondly verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, soweit nicht eine gesetzliche Verpflichtung zu einer abweichenden Verarbeitung besteht. In diesem Fall teilt Bondly dem Kunden die gesetzliche Verpflichtung vor der Verarbeitung mit, sofern das Gesetz eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.

4.2 Verantwortung des Kunden

Der Kunde ist insbesondere dafür verantwortlich,

  • dass eine gültige Rechtsgrundlage für die beauftragte Verarbeitung vorliegt,
  • dass Betroffene ordnungsgemäß informiert werden,
  • dass Einwilligungen, soweit erforderlich, wirksam eingeholt werden,
  • dass Weisungen rechtmäßig sind,
  • und dass Bondly nur solche Daten zur Verarbeitung übermittelt oder zugänglich macht, die für die jeweiligen Zwecke erforderlich sind.

5. Pflichten von Bondly als Auftragsverarbeiter

Bondly verpflichtet sich,

  • personenbezogene Daten nur im Rahmen dieses AVV und dokumentierter Weisungen zu verarbeiten,
  • Vertraulichkeit sicherzustellen,
  • geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen,
  • den Kunden im gesetzlich erforderlichen Umfang zu unterstützen,
  • Datenschutzverletzungen unverzüglich mitzuteilen,
  • Daten nach Ende der Verarbeitung zu löschen oder zurückzugeben,
  • die Voraussetzungen für den Einsatz weiterer Unterauftragsverarbeiter einzuhalten.

6. Vertraulichkeit und Zugriffsberechtigung

Bondly stellt sicher, dass Personen, die im Auftrag personenbezogene Daten verarbeiten, zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Zugriff auf personenbezogene Daten erfolgt nur im erforderlichen Umfang und nach dem Need-to-know-Prinzip.

7. Technische und organisatorische Maßnahmen (TOMs)

Bondly trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau sicherzustellen.

Die aktuell geltenden technischen und organisatorischen Maßnahmen ergeben sich aus Anlage 1 zu diesem AVV. Aktuelle Informationen dazu findest du unter Technische und organisatorische Maßnahmen (TOMs). Bondly ist berechtigt, die Maßnahmen weiterzuentwickeln, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

8. Unterstützung des Kunden

Bondly unterstützt den Kunden im angemessenen und gesetzlich erforderlichen Umfang bei:

  • der Beantwortung von Anträgen betroffener Personen,
  • der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO,
  • der Meldung und Behandlung von Datenschutzverletzungen,
  • Datenschutz-Folgenabschätzungen und vorherigen Konsultationen, soweit diese im Zusammenhang mit der beauftragten Verarbeitung stehen.

Soweit der Aufwand über die vertraglich geschuldete Standardunterstützung hinausgeht, kann Bondly eine angemessene Vergütung verlangen, sofern dies vertraglich vorgesehen oder im Einzelfall vereinbart ist.

9. Unterauftragsverarbeiter

Bondly ist berechtigt, weitere Unterauftragsverarbeiter einzusetzen. Die aktuell eingesetzten Unterauftragsverarbeiter sind in der jeweils gültigen Liste zusammengefasst. Die Liste findest du unter Unterauftragsverarbeiter.

Soweit Bondly neue Unterauftragsverarbeiter einsetzt oder bestehende wesentlich ändert, informiert Bondly den Kunden vorab in Textform oder durch Aktualisierung der verlinkten Liste mit angemessener Vorankündigung. Dem Kunden steht ein Widerspruchsrecht nach Maßgabe dieses AVV zu.

Ein Widerspruch ist innerhalb von 14 Tagen nach Zugang der Information bzw. nach Veröffentlichung der Änderung in Textform gegenüber Bondly geltend zu machen. Der Widerspruch ist zu begründen. Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt.

Im Falle eines berechtigten Widerspruchs werden die Parteien prüfen, ob eine zumutbare Alternative besteht. Sofern keine zumutbare Alternative besteht, steht beiden Parteien das Recht zu, die betroffene Funktion oder – sofern erforderlich – den Vertrag bzw. die betreffende Leistung außerordentlich zu beenden.

Bondly verpflichtet Unterauftragsverarbeiter vertraglich auf Datenschutzpflichten, die den in diesem AVV geregelten Pflichten im Wesentlichen entsprechen.

10. Drittlandübermittlungen

Eine Verarbeitung personenbezogener Daten in einem Drittland erfolgt nur, wenn die gesetzlichen Voraussetzungen vorliegen. Soweit eine Drittlandübermittlung erfolgt, stellt Bondly sicher, dass hierfür ein zulässiger Übermittlungsmechanismus besteht, insbesondere:

  • ein Angemessenheitsbeschluss,
  • Standardvertragsklauseln,
  • oder ein sonstiger gesetzlich zulässiger Mechanismus.

11. Kontrollrechte und Nachweise

Bondly weist dem Kunden die Einhaltung der in diesem AVV niedergelegten Pflichten auf geeignete Weise nach.

Hierzu kann Bondly dem Kunden insbesondere geeignete Informationen, Dokumentationen, Beschreibungen technischer und organisatorischer Maßnahmen oder sonstige Nachweise zur Verfügung stellen.

Vor-Ort-Kontrollen oder Audits durch den Kunden oder einen von ihm beauftragten Prüfer sind nur nach angemessener Vorankündigung, während üblicher Geschäftszeiten und unter Wahrung von Geschäfts- und Betriebsgeheimnissen sowie Datenschutz- und Sicherheitsinteressen anderer Kunden zulässig.

Bondly kann Audits auf dokumentierte Nachweise, Remote-Prüfungen oder geeignete Ersatznachweise verweisen, soweit dies angemessen und ausreichend ist.

Unangemessene oder unverhältnismäßige Prüfungen können abgelehnt werden. Soweit Prüfungen einen über das übliche Maß hinausgehenden Aufwand verursachen, kann Bondly eine angemessene Vergütung verlangen.

12. Meldung von Datenschutzverletzungen

Bondly informiert den Kunden unverzüglich, wenn Bondly eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der beauftragten Verarbeitung bekannt wird, soweit diese den Verantwortungsbereich des Kunden betrifft.

13. Rückgabe und Löschung nach Vertragsende

Nach Beendigung der vertraglichen Leistungserbringung wird Bondly personenbezogene Daten nach Wahl des Kunden löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht oder sonstige zulässige Pflicht zur weiteren Speicherung besteht.

Soweit Bondly standardisierte Lösch- oder Retention-Prozesse vorsieht, können diese zur Anwendung kommen, sofern sie dem Kunden transparent gemacht wurden und den gesetzlichen Anforderungen entsprechen.

Hiervon unberührt bleiben Daten, deren weitere Speicherung erforderlich ist,

  • zur Erfüllung gesetzlicher Aufbewahrungspflichten,
  • zum Nachweis rechtmäßiger Verarbeitung,
  • zur Verhinderung weiterer Zusendungen bei bestehenden Suppression-/Sperrlisten,
  • oder zur Abwehr, Geltendmachung oder Ausübung von Rechtsansprüchen.

14. Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften sowie den zwischen den Parteien im Hauptvertrag getroffenen Haftungsregelungen, soweit gesetzlich zulässig.

15. Schlussbestimmungen

15.1 Verhältnis zum Hauptvertrag

Dieser AVV ergänzt den zwischen den Parteien bestehenden Hauptvertrag über die Nutzung von Bondly. Im Falle von Widersprüchen gehen die Regelungen dieses AVV vor, soweit sie die Verarbeitung personenbezogener Daten im Auftrag betreffen.

15.2 Änderungen und Schrift-/Textform

Änderungen und Ergänzungen dieses AVV bedürfen der Textform, soweit gesetzlich nichts anderes vorgeschrieben ist.

15.3 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

Aktuelle Informationen zu den technischen und organisatorischen Maßnahmen findest du unter Technische und organisatorische Maßnahmen (TOMs).

Anlage 2 – Unterauftragsverarbeiter

Die aktuelle Liste der Unterauftragsverarbeiter findest du unter Unterauftragsverarbeiter.

Dokumentversion: 2026-05-05