Wichtiger Hinweis: Dies ist ein unverbindlicher Muster- bzw. Platzhaltertext. Er ersetzt keine Rechtsberatung und muss vor der Veröffentlichung von einer Rechtsanwältin oder einem Rechtsanwalt geprüft und an den konkreten Einzelfall angepasst werden. Gelb hervorgehobene Felder wie [Platzhalter] sind noch auszufüllen.

Auftragsverarbeitungsvertrag (AVV)

Stand: 13.07.2026

Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien im Rahmen der Nutzung von Social Studio. Er wird geschlossen zwischen dem Kunden als „Verantwortlichem“ und RO Werbung als „Auftragsverarbeiter“.

§ 1 Gegenstand und Rollen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Sinne des Art. 28 DSGVO. Verantwortlicher für die über die Anwendung verarbeiteten Daten seiner Social-Media-Konten und seiner Kunden bzw. Interessenten ist allein der Kunde.

(2) Gegenstand ist die Verarbeitung personenbezogener Daten, die im Rahmen der Nutzung der Anwendung durch den Verantwortlichen anfallen.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung dient der Bereitstellung der Anwendung zur Planung, Erstellung, Veröffentlichung und Auswertung von Social-Media-Inhalten einschließlich Speicherung, Bearbeitung, Übermittlung an angebundene Plattformen und KI-Verarbeitung. Es werden folgende Datenarten verarbeitet: Konto- und Nutzerdaten, Inhalts- und Mediendaten, Metadaten von Beiträgen sowie ggf. in Inhalten enthaltene personenbezogene Daten (z. B. abgebildete Personen). Betroffene Personen sind Nutzer des Verantwortlichen sowie Empfänger und Abgebildete der veröffentlichten Inhalte.

§ 3 Dauer

Die Verarbeitung erfolgt für die Laufzeit des zugrunde liegenden Nutzungsvertrags. Der AVV endet mit Beendigung des Nutzungsvertrags.

§ 4 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zu einer anderweitigen Verarbeitung verpflichtet.

(2) Weisungen werden zunächst durch diesen Vertrag und die Nutzung der Anwendung festgelegt und können vom Verantwortlichen in Textform geändert werden. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen Datenschutzrecht verstößt, informiert er den Verantwortlichen.

§ 5 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat die Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO nachzuweisen. Umgesetzt sind insbesondere:

  • Verschlüsselte Speicherung sensibler Token: OAuth-Token der angebundenen Plattformen werden mit AES-256-GCM verschlüsselt abgelegt; der Schlüssel liegt ausschließlich serverseitig vor.
  • Zwei-Faktor-Authentifizierung (TOTP): Absicherung der Nutzerzugänge durch einen zweiten Faktor samt Backup-Codes.
  • Mandanten-Isolation: strikte Trennung der Daten je Kunde (Tenant); jede Datenbankabfrage ist auf den jeweiligen Mandanten begrenzt.
  • Zugriffskontrolle und Rollen: rollenbasierte Berechtigungen (Admin/Editor), Rate-Limiting gegen automatisierte Angriffe, gehärtete Sitzungs-Cookies (Secure, HttpOnly, SameSite).
  • Verschlüsseltes Backup: regelmäßige, gesicherte Datensicherungen zur Wiederherstellbarkeit.
  • Serverstandort Deutschland: Hosting in einem Rechenzentrum in Deutschland; Übertragung ausschließlich über verschlüsselte Verbindungen (TLS).
  • Protokollierung: sicherheitsrelevante Aktionen werden in einem Audit-Log nachvollziehbar aufgezeichnet.

Die Maßnahmen unterliegen dem technischen Fortschritt; der Auftragsverarbeiter darf sie fortentwickeln, sofern das Schutzniveau nicht unterschritten wird.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche stimmt dem Einsatz der nachfolgenden Unterauftragsverarbeiter zu. Der Auftragsverarbeiter schließt mit diesen die datenschutzrechtlich erforderlichen Verträge bzw. stellt geeignete Garantien für Drittlandübermittlungen sicher.

UnterauftragsverarbeiterLeistung
IONOS SE (Deutschland)Hosting, Datenbank, Medienspeicher, Backup
Google Ireland Ltd. (Gemini / Imagen, YouTube, GBP)KI-Verarbeitung sowie Veröffentlichung/Insights
Meta Platforms Ireland Ltd.Veröffentlichung Instagram / Facebook, Insights
TikTok Technology Ltd.Veröffentlichung TikTok
Pinterest Europe Ltd.Veröffentlichung Pinterest
LinkedIn Ireland Unlimited CompanyVeröffentlichung LinkedIn
Jogg.aiKI-Videogenerierung
Shopify International Ltd.Abruf von Produktdaten
Telegram Messenger Inc.Versand von Benachrichtigungen (optional)

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter; der Verantwortliche kann berechtigten Einwänden Ausdruck verleihen.

§ 7 Vertraulichkeit

Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 8 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung von Anträgen betroffener Personen (Art. 12–23 DSGVO), bei der Sicherheit der Verarbeitung, bei Datenschutz- Folgenabschätzungen sowie bei der Meldung von Datenschutzverletzungen (Art. 32–36 DSGVO). Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, informiert er den Verantwortlichen unverzüglich.

§ 9 Nachweise und Kontrolle

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Umfang. [Modalitäten der Kontrolle konkretisieren]

§ 10 Löschung und Rückgabe nach Vertragsende

Nach Abschluss der Verarbeitungstätigkeiten löscht der Auftragsverarbeiter — nach Wahl des Verantwortlichen — sämtliche personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht eine gesetzliche Pflicht zur Speicherung besteht. Der Verantwortliche kann seine Daten bis zum Vertragsende exportieren.

§ 11 Schlussbestimmungen

Es gilt deutsches Recht. Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.

[Für einen rechtsverbindlichen Abschluss ist ggf. eine gesonderte, unterzeichnete Fassung erforderlich.]