gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Stand: Mai 2026 — Letzte Aktualisierung: 22. Mai 2026
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen
Verantwortlicher (Auftraggeber):
Das das Lumyro-System nutzende Unternehmen, in der Regel ein Kraftfahrzeughandelsbetrieb (Autohaus), nachfolgend „Verantwortlicher“ genannt.
Auftragsverarbeiter:
Nick Mittelstedt, Eibenweg 3, 67346 Speyer
E-Mail: info@lumyro.de
nachfolgend „Auftragsverarbeiter“ oder „Lumyro“ genannt.
Der Verantwortliche und der Auftragsverarbeiter schließen diesen AVV als Ergänzung zum bestehenden Nutzungsvertrag über die Software-as-a-Service-Plattform Lumyro Autohaus-Intelligence ab. Der AVV konkretisiert die datenschutzrechtlichen Pflichten beider Parteien gemäß Art. 28 DSGVO und tritt als integraler Bestandteil des Nutzungsvertrags in Kraft.
Der Auftragsverarbeiter verarbeitet im Rahmen der Bereitstellung der Lumyro-Plattform personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen. Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags.
Art der verarbeiteten Daten:
Betroffene Personengruppen:
Zweck der Verarbeitung: CRM-Verwaltung (Interessenten- und Kundenpflege), Fahrzeugbestandsverwaltung, Lead-Pipeline-Management, Marketing-Kostenattribution und interne Reporting-Funktionen.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen, einschließlich in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern er nicht durch das Unionsrecht oder das Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherheit der Verarbeitung. Die konkret getroffenen Maßnahmen sind in § 5 dieses Vertrags beschrieben.
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten des Verantwortlichen gemäß Art. 32 bis 36 DSGVO, insbesondere bei der Beantwortung von Anfragen zur Wahrnehmung der Betroffenenrechte (Art. 15 bis 22 DSGVO). Anfragen des Verantwortlichen zur Unterstützung sind per E-Mail an info@lumyro.de zu richten. Der Auftragsverarbeiter beantwortet solche Anfragen innerhalb von fünf Werktagen.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 33 und 34 DSGVO genannten Pflichten (Meldung von Datenpannen an Aufsichtsbehörden und Benachrichtigung betroffener Personen). Im Falle einer Verletzung des Schutzes personenbezogener Daten, die zu einem Risiko für die betroffenen Personen führen kann, benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden des Vorfalls.
Nach Beendigung des Nutzungsvertrags löscht oder gibt der Auftragsverarbeiter — entsprechend der Entscheidung des Verantwortlichen — alle personenbezogenen Daten zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Pflicht zur Speicherung der personenbezogenen Daten besteht. Die Datenlöschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt. Der Verantwortliche hat das Recht, die vollständige Löschung innerhalb von 30 Tagen nach Vertragsende schriftlich anzufordern.
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Prüfungen sind mit einer Ankündigungsfrist von mindestens 14 Tagen per E-Mail anzukündigen.
Der Auftragsverarbeiter setzt zur Erbringung der Leistung folgende Sub-Auftragsverarbeiter ein, mit denen separate Verträge zur Auftragsverarbeitung geschlossen wurden:
| Dienstleister | Zweck | Sitz / Datenort | Rechtsgrundlage |
|---|---|---|---|
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, DE | Hosting der Serverinfrastruktur | Deutschland (EU), ISO 27001 zertifiziert | AVV mit Hetzner, Verarbeitung in der EU |
| Supabase Inc., 970 Toa Payoh North, Singapur | Datenbank, Authentifizierung | EU-Region Frankfurt (eu-central-1), AWS | DPA mit Supabase + Standardvertragsklauseln (SCC) |
| Resend Inc., San Francisco, USA | Transaktions-E-Mail-Versand | USA | DPA mit Resend + EU-Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO) |
Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung zum Einsatz der oben genannten Sub-Auftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder den Austausch weiterer Auftragsverarbeiter, wodurch dem Verantwortlichen die Möglichkeit gegeben wird, gegen derartige Änderungen Einspruch zu erheben. Die Benachrichtigung erfolgt per E-Mail an die im Nutzungsvertrag hinterlegte Adresse mit einem Vorlauf von mindestens 30 Tagen.
Dem Sub-Auftragsverarbeiter werden durch den Auftragsverarbeiter die gleichen Datenschutzpflichten auferlegt, die diesem aus diesem Vertrag entstehen, insbesondere ausreichende Garantien dafür zu bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung die Anforderungen der DSGVO erfüllt.
Die Kerndaten der Lumyro-Plattform (Datenbank, Authentifizierung) werden ausschließlich in der EU (Supabase EU-Region Frankfurt, Hetzner Deutschland) gespeichert und verarbeitet.
Für den E-Mail-Versand (Einladungs-E-Mails, Systembenachrichtigungen) wird Resend Inc. mit Sitz in den USA eingesetzt. Die Übermittlung personenbezogener Daten in die USA erfolgt auf der Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914). Ein angemessenes Schutzniveau wird durch diese Standardvertragsklauseln in Verbindung mit den technischen und organisatorischen Maßnahmen von Resend sichergestellt. Der Verantwortliche kann jederzeit Einsicht in die Standardvertragsklauseln verlangen.
Darüber hinaus findet keine Übermittlung personenbezogener Daten in Drittländer statt.
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:
Alle Datenübertragungen zwischen Clients und der Lumyro-Infrastruktur erfolgen ausschließlich verschlüsselt über TLS 1.2 oder höher (HTTPS). Unverschlüsselte HTTP-Verbindungen werden automatisch auf HTTPS umgeleitet. Ein gültiges SSL/TLS-Zertifikat ist dauerhaft sichergestellt.
Personenbezogene Daten werden bei Supabase auf verschlüsselten Volumes (AES-256) gespeichert. Passwörter werden ausschließlich als gesalzene Hash-Werte (bcrypt) gespeichert; Klartextpasswörter werden weder gespeichert noch protokolliert. Hetzner-Volumes sind ebenfalls verschlüsselt.
Die Serverinfrastruktur wird in den Rechenzentren der Hetzner Online GmbH betrieben, die nach ISO 27001 zertifiziert sind. Der physische Zugang zu den Rechenzentren ist auf autorisiertes Personal beschränkt und wird durch mehrstufige Zugangssicherung, Videoüberwachung und Einbruchmeldeanlagen gesichert.
Der Zugang zur Lumyro-Plattform erfordert eine Authentifizierung mittels E-Mail-Adresse und Passwort. Multi-Faktor-Authentifizierung (MFA) ist technisch möglich und wird empfohlen. Datenbankzugriffe werden durch Row Level Security (RLS) auf Supabase-Ebene auf die jeweils berechtigte Organisation und Nutzerrolle beschränkt. Administratorzugriff auf Infrastrukturebene ist auf den Betreiber beschränkt und durch SSH-Key-Authentifizierung gesichert.
Innerhalb der Lumyro-Plattform werden Nutzerrollen mit unterschiedlichen Zugriffsrechten vergeben (Owner, Admin, Sales, Viewer). Jede Organisation bildet einen isolierten Mandanten; organisationsübergreifende Datenzugriffe sind technisch ausgeschlossen. Berechtigungen werden auf Basis des Prinzips der minimalen Rechtevergabe (Principle of Least Privilege) vergeben.
Interne Datensätze werden mit UUIDs referenziert. Audit-Log-Einträge enthalten Nutzer-IDs statt Klartextnamen. Eine weitergehende Pseudonymisierung erfolgt, wo technisch sinnvoll möglich, ohne die Betriebsfunktionalität einzuschränken.
Tägliche automatische Backups der Datenbank werden durch Supabase mit einer Aufbewahrungsdauer von 30 Tagen erstellt. Im Schadensfall ist eine Wiederherstellung auf einen Zustand innerhalb der letzten 30 Tage möglich. Zusätzliche Backups auf Infrastrukturebene sind durch Hetzner sichergestellt.
Wesentliche Aktionen in der Plattform (Erstellen, Bearbeiten, Löschen von Datensätzen) werden in einem Audit-Log mit Zeitstempel, Nutzer-ID und Änderungs-Diff protokolliert. Soft-gelöschte Audit-Log-Einträge werden nach 90 Tagen endgültig gelöscht (Retention Policy).
Daten verschiedener Verantwortlicher (Organisationen) werden in der gemeinsamen Datenbankinfrastruktur durch Row Level Security strikt voneinander getrennt. Eine technische Vermischung von Daten verschiedener Verantwortlicher ist ausgeschlossen.
Soweit Betroffene ihre Rechte gemäß Art. 15 bis 22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch) gegenüber dem Verantwortlichen geltend machen, unterstützt der Auftragsverarbeiter den Verantwortlichen auf schriftliche Anforderung bei der Erfüllung dieser Pflichten.
Für Nutzer der Lumyro-Plattform stehen folgende Self-Service-Funktionen zur Verfügung, die der Verantwortliche seinen Mitarbeitern anbieten kann:
Für Kundendaten des Verantwortlichen (z.B. Lead-Daten), die sich auf Dritte beziehen, ist der Verantwortliche selbst für die Erfüllung der Betroffenenrechte zuständig. Der Auftragsverarbeiter stellt die technischen Möglichkeiten (Bearbeitung, Export, Löschung) hierfür bereit.
Dieser AVV tritt mit dem Abschluss des Nutzungsvertrags über die Lumyro-Plattform in Kraft und läuft für dieselbe Dauer wie der Nutzungsvertrag. Er endet automatisch mit der Beendigung des Nutzungsvertrags, ohne dass es einer gesonderten Kündigung bedarf.
Soweit sich aus den Umständen der Beendigung ergibt, dass noch Verarbeitungshandlungen zur Rückgabe oder Löschung der Daten erforderlich sind, gilt dieser AVV bis zum Abschluss dieser Handlungen fort.
Bei Beendigung des Nutzungsvertrags — gleich aus welchem Grund — hat der Verantwortliche das Recht, die Rückgabe aller verarbeiteten personenbezogenen Daten in einem gängigen maschinenlesbaren Format (JSON) oder deren vollständige Löschung zu verlangen. Das Verlangen ist schriftlich an info@lumyro.de zu richten.
Der Auftragsverarbeiter bestätigt die vollständige Datenlöschung oder -rückgabe schriftlich innerhalb von 30 Tagen nach Eingang des Verlangens, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Soweit gesetzliche Aufbewahrungspflichten bestehen, werden die betreffenden Daten für die Dauer der Aufbewahrungspflicht eingeschränkt verarbeitet und danach gelöscht.
Die Haftung der Parteien richtet sich nach den Bestimmungen des Nutzungsvertrags sowie nach den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO. Jede Partei haftet für den Schaden, den sie durch eine nicht der DSGVO entsprechende Verarbeitung verursacht hat.
Der Auftragsverarbeiter ist von der Haftung nach Art. 82 Abs. 2 DSGVO befreit, soweit er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Im Falle von Datenpannen, die auf eine Verletzung der Pflichten des Auftragsverarbeiters aus diesem AVV zurückzuführen sind, stellt der Auftragsverarbeiter den Verantwortlichen von Bußgeldern und Schadensersatzansprüchen Dritter frei, soweit diese auf dem vertragswidrigen Verhalten des Auftragsverarbeiters beruhen.
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG). Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters (Speyer).
Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
Der Auftragsverarbeiter behält sich das Recht vor, diesen AVV bei wesentlichen Änderungen der Verarbeitungstätigkeit, der eingesetzten Sub-Auftragsverarbeiter oder der anwendbaren Rechtsgrundlagen anzupassen. Wesentliche Änderungen werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Sofern der Verantwortliche nicht innerhalb dieser Frist schriftlich widerspricht, gilt die Änderung als genehmigt. Im Falle des Widerspruchs kann jede Partei den Nutzungsvertrag zum Ende des laufenden Vertragszeitraums kündigen.
Unwesentliche redaktionelle Änderungen (z.B. Aktualisierung von Kontaktdaten) werden auf dieser Seite mit Änderungsdatum kenntlich gemacht, ohne dass es einer gesonderten Mitteilung bedarf.
Dieser AVV stellt zusammen mit dem Nutzungsvertrag die vollständige Vereinbarung der Parteien zum Thema Auftragsverarbeitung dar und ersetzt alle früheren mündlichen oder schriftlichen Absprachen zu diesem Thema.
Für Fragen zu diesem AVV oder zur Datenverarbeitung wenden Sie sich bitte an:
Nick Mittelstedt (Lumyro)
Eibenweg 3, 67346 Speyer
info@lumyro.de
Hinweis: Als Einzelunternehmer mit weniger als 20 fest angestellten Mitarbeitern ist Lumyro derzeit nicht verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen. Der Betreiber selbst ist erster Ansprechpartner für alle datenschutzrechtlichen Fragen.
Sie können diesen AVV als PDF speichern, indem Sie die Druckfunktion Ihres Browsers verwenden und "Als PDF speichern" wählen.