Fassung vom: 7. Juli 2026
Auftragsverarbeitungsvertrag (AV-Vertrag)
Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten im Auftrag der auftraggebenden Organisation (Art. 28 DSGVO) durch Loistava Holding UG als Betreiberin der SaaS-Plattform Übernahme-Radar. Sie liegt in der aktuellen Fassung online zum Download bereit und tritt mit Nutzung der Plattform sowie ergänzend durch unterzeichneten Rückversand per E-Mail an info@uebernahmeradar.de in Kraft.
01Präambel
Zwischen der auftraggebenden Organisation (Verantwortlicher, im Folgenden: „Auftraggeber”) und
Loistava Holding UG (haftungsbeschränkt)
Asternring 9
15732 Schulzendorf, Deutschland
Handelsregister: Amtsgericht Charlottenburg (Berlin), HRB 157120 B
Vertretung: Antti Savolainen
Kontakt: info@uebernahmeradar.de
(im Folgenden: „Auftragsverarbeiter”) — nachstehend gemeinsam die „Parteien” — wird der folgende Vertrag zur Auftragsverarbeitung gemäß Artikel 28 der Verordnung (EU) 2016/679 („DSGVO”) geschlossen. Er ergänzt die Nutzungsbedingungen (AGB) von Übernahme-Radar um die datenschutzrechtlichen Pflichten der Parteien und ist Bestandteil dieser.
02§ 1 Gegenstand, Dauer und Beendigung
(1) Gegenstand des Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Erbringung der Vertragsleistungen „Übernahme-Radar” (SaaS- Plattform für die Recherche und das Alerting distressed-M&A- Chancen im DACH-Raum) im Auftrag des Auftraggebers.
(2) Der Vertrag beginnt mit Freischaltung des Accounts durch den Auftraggeber und läuft auf unbestimmte Zeit. Er endet automatisch mit Beendigung der zugrundeliegenden Nutzungsbeziehung (Kündigung des Abonnements, Löschung des Accounts).
(3) Nach Beendigung der Verarbeitung werden alle personenbezogenen Daten gemäß § 12 gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
03§ 2 Art, Zweck und Kategorien der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet für den Auftraggeber personenbezogene Daten ausschließlich zum Zweck der Bereitstellung, des Betriebs und der Weiterentwicklung der Plattform Übernahme-Radar. Dazu gehören insbesondere:
- Authentifizierung und Verwaltung der Nutzerkonten,
- Aggregation, Anreicherung und Bewertung öffentlich publizierter Insolvenz- und M&A-Bekanntmachungen,
- Erstellung von Deal-Playbooks, Watchlists, Alerts und KI-basierten Zusammenfassungen,
- Versand von transaktionalen und Lifecycle-E-Mails,
- Abrechnung, Support und Fehleranalyse.
(2) Betroffene Personengruppen sind: Nutzer des Auftraggebers (Mitarbeiter, Kollaborateure) sowie natürliche Personen, die in öffentlich zugänglichen Registern (u. a. Insolvenzbekanntmachungen, Handelsregister, Bundesanzeiger) als Schuldner, Verwalter, Geschäftsführer oder Gesellschafter veröffentlicht sind.
(3) Kategorien der Daten sind: Kontaktdaten (Name, E-Mail), Nutzungsdaten (Login-Zeitpunkte, angesehene Fälle, Notizen), Abrechnungsdaten (nur beim Zahlungsdienstleister) sowie die in den öffentlichen Quellen enthaltenen Angaben zu Insolvenzfällen und deren Beteiligten.
04§ 3 Weisungsrecht des Auftraggebers
(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Als Weisung gilt insbesondere dieser Vertrag samt Anlagen sowie die vertraglich vereinbarten Leistungsbeschreibungen.
(2) Änderungen oder Ergänzungen bedürfen der Textform (E-Mail an info@uebernahmeradar.de genügt).
(3) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt. Er ist berechtigt, die Ausführung der entsprechenden Weisung auszusetzen, bis eine Klärung erfolgt ist.
05§ 4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich, insbesondere:
- die Daten strikt zweckgebunden zur Vertragserfüllung zu verarbeiten,
- die Vertraulichkeit sämtlicher mit der Verarbeitung befasster Personen sicherzustellen (Art. 28 Abs. 3 lit. b DSGVO),
- geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen und aufrechtzuerhalten (siehe Anlage 2),
- den Auftraggeber bei der Erfüllung seiner Pflichten aus den Betroffenenrechten sowie bei DSFAs und Meldungen an Behörden angemessen zu unterstützen,
- den Auftraggeber unverzüglich über jede ihm bekannt werdende Datenschutzverletzung zu informieren (siehe § 6),
- nach Beendigung der Verarbeitung sämtliche Daten gemäß § 12 zu löschen oder zurückzugeben.
06§ 5 Sub-Auftragsverarbeiter
(1) Der Auftraggeber erteilt hiermit eine allgemeine schriftliche Genehmigung zum Einsatz der in Anlage 1 aufgeführten Sub-Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO).
(2) Der Auftragsverarbeiter informiert den Auftraggeber mindestens 30 Tage vor jeder beabsichtigten Änderung (Aufnahme oder Ersetzung eines Sub-Auftragsverarbeiters) über die Änderung. Der Auftraggeber kann binnen 30 Tagen aus wichtigem datenschutzrechtlichem Grund Einspruch erheben. Bei einem Einspruch steht dem Auftragsverarbeiter ein Sonderkündigungsrecht mit einer Frist von 30 Tagen zu.
(3) Der Auftragsverarbeiter verpflichtet jeden Sub-Auftragsverarbeiter vertraglich zu Datenschutzpflichten, die denen dieses Vertrages entsprechen (Art. 28 Abs. 4 DSGVO). Drittlandtransfers (insbesondere in die USA) erfolgen ausschließlich auf Grundlage von Angemessenheitsbeschlüssen, EU-Standard vertragsklauseln (SCC 2021/914) oder anderer geeigneter Garantien nach Art. 46 DSGVO.
07§ 6 Meldepflichten bei Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Auftraggeber jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO) unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung.
(2) Die Meldung enthält, soweit verfügbar: Art der Verletzung, betroffene Datenkategorien und Personen, wahrscheinliche Folgen sowie ergriffene bzw. vorgeschlagene Maßnahmen zur Eindämmung.
(3) Meldeadresse des Auftraggebers ist die im Account hinterlegte E-Mail-Adresse; abweichende Kontaktdaten teilt der Auftraggeber schriftlich mit.
08§ 7 Technisch-organisatorische Maßnahmen (TOMs)
Die vom Auftragsverarbeiter getroffenen technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO sind in Anlage 2 beschrieben. Der Auftragsverarbeiter überprüft die Maßnahmen mindestens jährlich sowie anlassbezogen auf Angemessenheit und dokumentiert die Prüfungsergebnisse. Änderungen mit wesentlicher Auswirkung auf das Schutzniveau werden dem Auftraggeber mitgeteilt.
09§ 8 Betroffenenrechte
(1) Der Auftragsverarbeiter unterstützt den Auftraggeber angemessen bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbar keit, Widerspruch — Art. 15 ff. DSGVO), soweit dies im Rahmen der technischen Möglichkeiten der Plattform zumutbar ist.
(2) Wenden sich betroffene Personen unmittelbar an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.
10§ 9 Kontrollrechte und Nachweispflichten
(1) Der Auftraggeber hat das Recht, sich vor Beginn und während der Vertragsdauer von der Einhaltung der technisch-organisatorischen Maßnahmen zu überzeugen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragsverarbeiter stellt hierfür alle zur Beurteilung erforderlichen Informationen bereit.
(2) Der Nachweis kann durch aktuelle Zertifikate, Prüfberichte anerkannter Prüfstellen (z. B. ISO 27001, SOC 2 der Sub-Auftragsverarbeiter) sowie das Sicherheitsdatenblatt (Anlage 2) erbracht werden.
(3) Vor-Ort-Kontrollen sind mit angemessener Vorankündigung (mind. 14 Tage), zu Bürozeiten und ohne störende Beeinträchtigung des Geschäftsbetriebs zulässig. Anfallende Kosten (Personalaufwand des Auftragsverarbeiters) trägt der Auftraggeber, sofern die Kontrolle nicht durch eine schuldhafte Vertragsverletzung veranlasst wurde.
11§ 10 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den Regelungen der zwischen den Parteien geschlossenen Nutzungsverträge (AGB). Die Regelungen dieses Vertrages gehen jedoch bei Widersprüchen im Datenschutzverhältnis den AGB vor.
12§ 11 Vertraulichkeit
Der Auftragsverarbeiter verpflichtet sich, alle im Zusammenhang mit diesem Vertrag erhaltenen Informationen — insbesondere die personenbezogenen Daten und interne Betriebsdaten des Auftraggebers — auch über das Vertragsende hinaus vertraulich zu behandeln. Die mit der Verarbeitung befassten Personen werden entsprechend verpflichtet (Art. 28 Abs. 3 lit. b DSGVO); der Nachweis wird auf Anforderung erbracht.
13§ 12 Löschung und Rückgabe
(1) Nach Beendigung der Verarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten spätestens innerhalb von 30 Tagen, sofern der Auftraggeber nicht zuvor die Rückgabe verlangt hat.
(2) Bereits erfolgte Backups werden im nächsten Backup-Zyklus (üblicherweise binnen 30 weiterer Tage) überschrieben.
(3) Gesetzliche Aufbewahrungspflichten (z. B. § 147 AO) bleiben unberührt; entsprechende Datensätze werden bis zum Ablauf der Frist eingeschränkt verarbeitet und danach gelöscht.
14§ 13 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. Das gilt auch für die Aufhebung dieses Formerfordernisses.
(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Für diesen Vertrag gilt deutsches Recht. Gerichtsstand ist — soweit gesetzlich zulässig — Berlin.
15Anlage 1 — Genehmigte Sub-Auftragsverarbeiter
Stand: 7.7.2026. Die aktuelle Liste ist jederzeit unter /datenschutz#empfaenger einsehbar.
| Anbieter | Zweck | Region |
|---|---|---|
| Supabase Inc. | Auth (Magic-Link, Google OAuth), Postgres-Datenbank | EU (Frankfurt) / US-HQ |
| Netlify Inc. | Frontend-Hosting, Edge-Functions | EU / US-HQ |
| Cloudflare Inc. | DNS, CDN, DDoS-Schutz | EU / US-HQ |
| Resend, Inc. | Transaktions-E-Mail-Versand | EU / US-HQ |
| ImprovMX | Inbound-E-Mail-Routing für info@uebernahmeradar.de | EU |
| Anthropic PBC | KI-Modell für Deep-Research + Deal-Playbook | US (SCC) |
| OpenAI, L.L.C. | KI-Modell (Fallback für Deep-Research) | US (SCC) |
| Google LLC (Gemini API) | KI-Modell (Fallback für Deep-Research) | US (SCC) |
| Stripe Payments Europe, Ltd. | Abonnement-Zahlungen, Rechnungsversand | EU (Irland) |
| PostHog Inc. | Produkt-Analytics (pseudonymisiert) | EU (Frankfurt) |
| Inngest, Inc. | Job-Scheduling, Event-Bus | US (SCC) |
16Anlage 2 — Technisch-organisatorische Maßnahmen (TOMs)
Die folgenden Maßnahmen sind zum Stand 7.7.2026 implementiert:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Rechenzentren betrieben von Supabase, Netlify, Cloudflare mit physischer Zutrittskontrolle nach ISO 27001.
- Zugangskontrolle: Passwortlose Authentifizierung (Magic-Link / Google OAuth), pflichtige 2FA für alle Administrator-Accounts, Hosted-Auth via Supabase (JWT-basiert).
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Owner / Admin / Member / Viewer), zusätzliche Row-Level-Security auf Postgres-Ebene, Trennung nach Organisation (Multi-Tenancy).
- Trennungskontrolle: Strikte Mandantentrennung durch
org_id-Spalten auf allen scoped Tabellen; jede Query MUST filtern.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Verschlüsselung: TLS 1.3 (Cloudflare) end-to-end im Transport; Verschlüsselung „at rest” auf Postgres (Supabase, AES-256); E-Mail-Ausgang via Resend über TLS.
- Eingabekontrolle: Vollständige Audit-Logs für alle Administrator-Aktionen; Änderungsprotokoll für Watchlists, Alerts und Buyer-Profile.
- Weitergabekontrolle: Sub-Auftragsverarbeiter ausschließlich mit SCC-Absicherung (bei US-Anbietern) oder EU-Ansässigkeit.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Automatisierte Backups: Postgres-Backups täglich, 30 Tage Retention; Point-in-Time-Recovery mit 5-Minuten-Granularität.
- Verfügbarkeit: SLA-Ziel 99,5% Monatsverfügbarkeit; automatische Auto-Scaling der Applikationsschicht auf Netlify Edge.
- Wiederherstellbarkeit: Dokumentierte Recovery-Verfahren, jährlicher Recovery-Drill.
4. Verfahren zur regelmäßigen Überprüfung
- Datenschutzmanagement: Datenschutzkoordinator im Unternehmen benannt; Verfahrensverzeichnis wird aktuell gehalten.
- Incident-Response: Ein Playbook mit definierten Rollen, Eskalationsstufen und 48-Stunden-Meldeziel gemäß Art. 33 DSGVO.
- Auftragsverarbeitungs-Management: Diese Vereinbarung wird jährlich auf Anpassungsbedarf überprüft.
17Unterschriften
Beide Parteien bestätigen die Kenntnis und Einhaltung der vorstehenden Bestimmungen. Die Wirksamkeit tritt mit Freischaltung des Accounts oder mit Rückversand des unterzeichneten Dokuments per E-Mail an info@uebernahmeradar.de ein.
Auftraggeber (Verantwortlicher)
Ort, Datum
Name in Blockschrift
Rechtsverbindliche Unterschrift
Auftragsverarbeiter
Berlin, 7.7.2026
Antti Savolainen
Geschäftsführer, Loistava Holding UG (haftungsbeschränkt)
Fassung 1.0 · 7.7.2026. Diese Vertragsvorlage folgt dem verbreiteten Bitkom-Muster und ist auf die konkrete Verarbeitung durch Übernahme-Radar zugeschnitten. Änderungen werden mind. 30 Tage vor Wirksamkeit an alle Zahlungskunden kommuniziert.