§ 1 Gegenstand und Rollen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Sinne des Art. 28 DSGVO. Verantwortlicher für die über die Anwendung verarbeiteten Daten seiner Social-Media-Konten und seiner Kunden bzw. Interessenten ist allein der Kunde.
(2) Gegenstand ist die Verarbeitung personenbezogener Daten, die im Rahmen der Nutzung der Anwendung durch den Verantwortlichen anfallen.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung dient der Bereitstellung der Anwendung zur Planung, Erstellung, Veröffentlichung und Auswertung von Social-Media-Inhalten einschließlich Speicherung, Bearbeitung, Übermittlung an angebundene Plattformen und KI-Verarbeitung. Es werden folgende Datenarten verarbeitet: Konto- und Nutzerdaten, Inhalts- und Mediendaten, Metadaten von Beiträgen sowie ggf. in Inhalten enthaltene personenbezogene Daten (z. B. abgebildete Personen). Betroffene Personen sind Nutzer des Verantwortlichen sowie Empfänger und Abgebildete der veröffentlichten Inhalte.
§ 3 Dauer
Die Verarbeitung erfolgt für die Laufzeit des zugrunde liegenden Nutzungsvertrags. Der AVV endet mit Beendigung des Nutzungsvertrags.
§ 4 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zu einer anderweitigen Verarbeitung verpflichtet.
(2) Weisungen werden zunächst durch diesen Vertrag und die Nutzung der Anwendung festgelegt und können vom Verantwortlichen in Textform geändert werden. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen Datenschutzrecht verstößt, informiert er den Verantwortlichen.
§ 5 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter hat die Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO nachzuweisen. Umgesetzt sind insbesondere:
- Verschlüsselte Speicherung sensibler Token: OAuth-Token der angebundenen Plattformen werden mit AES-256-GCM verschlüsselt abgelegt; der Schlüssel liegt ausschließlich serverseitig vor.
- Zwei-Faktor-Authentifizierung (TOTP): Absicherung der Nutzerzugänge durch einen zweiten Faktor samt Backup-Codes.
- Mandanten-Isolation: strikte Trennung der Daten je Kunde (Tenant); jede Datenbankabfrage ist auf den jeweiligen Mandanten begrenzt.
- Zugriffskontrolle und Rollen: rollenbasierte Berechtigungen (Admin/Editor), Rate-Limiting gegen automatisierte Angriffe, gehärtete Sitzungs-Cookies (Secure, HttpOnly, SameSite).
- Verschlüsseltes Backup: regelmäßige, gesicherte Datensicherungen zur Wiederherstellbarkeit.
- Serverstandort Deutschland: Hosting in einem Rechenzentrum in Deutschland; Übertragung ausschließlich über verschlüsselte Verbindungen (TLS).
- Protokollierung: sicherheitsrelevante Aktionen werden in einem Audit-Log nachvollziehbar aufgezeichnet.
Die Maßnahmen unterliegen dem technischen Fortschritt; der Auftragsverarbeiter darf sie fortentwickeln, sofern das Schutzniveau nicht unterschritten wird.
§ 6 Unterauftragsverarbeiter
(1) Der Verantwortliche stimmt dem Einsatz der nachfolgenden Unterauftragsverarbeiter zu. Der Auftragsverarbeiter schließt mit diesen die datenschutzrechtlich erforderlichen Verträge bzw. stellt geeignete Garantien für Drittlandübermittlungen sicher.
| Unterauftragsverarbeiter | Leistung |
|---|---|
| IONOS SE (Deutschland) | Hosting, Datenbank, Medienspeicher, Backup |
| Google Ireland Ltd. (Gemini / Imagen, YouTube, GBP) | KI-Verarbeitung sowie Veröffentlichung/Insights |
| Meta Platforms Ireland Ltd. | Veröffentlichung Instagram / Facebook, Insights |
| TikTok Technology Ltd. | Veröffentlichung TikTok |
| Pinterest Europe Ltd. | Veröffentlichung Pinterest |
| LinkedIn Ireland Unlimited Company | Veröffentlichung LinkedIn |
| Jogg.ai | KI-Videogenerierung |
| Shopify International Ltd. | Abruf von Produktdaten |
| Telegram Messenger Inc. | Versand von Benachrichtigungen (optional) |
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter; der Verantwortliche kann berechtigten Einwänden Ausdruck verleihen.
§ 7 Vertraulichkeit
Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
§ 8 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung von Anträgen betroffener Personen (Art. 12–23 DSGVO), bei der Sicherheit der Verarbeitung, bei Datenschutz- Folgenabschätzungen sowie bei der Meldung von Datenschutzverletzungen (Art. 32–36 DSGVO). Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, informiert er den Verantwortlichen unverzüglich.
§ 9 Nachweise und Kontrolle
Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Umfang. [Modalitäten der Kontrolle konkretisieren]
§ 10 Löschung und Rückgabe nach Vertragsende
Nach Abschluss der Verarbeitungstätigkeiten löscht der Auftragsverarbeiter — nach Wahl des Verantwortlichen — sämtliche personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht eine gesetzliche Pflicht zur Speicherung besteht. Der Verantwortliche kann seine Daten bis zum Vertragsende exportieren.
§ 11 Schlussbestimmungen
Es gilt deutsches Recht. Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.
[Für einen rechtsverbindlichen Abschluss ist ggf. eine gesonderte, unterzeichnete Fassung erforderlich.]