← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Vertragsparteien

Auftraggeber (Verantwortlicher)

Name / Firma [PLATZHALTER – Kundenname]
Adresse [PLATZHALTER]
E-Mail [PLATZHALTER]
Vertreten durch [PLATZHALTER]

Auftragnehmer (Auftragsverarbeiter)

Name [PLATZHALTER – vollständiger Name]
Adresse [PLATZHALTER]
E-Mail hello@handsfree-creator.de
Tätig unter handsfree-creator.de

§ 1 Gegenstand und Dauer

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Erbringung folgender Leistungen:

  • Bereitstellung eines Self-Service-Tools zur KI-gestützten Content-Erstellung (handsfree-creator.de)
  • KI-gestützte Analyse öffentlicher Social-Media-Daten für die Content-Planung

Die Laufzeit des AVV entspricht der Laufzeit des zugrundeliegenden Dienstleistungsvertrags.

§ 2 Art und Zweck der Verarbeitung

Art der Daten Name, E-Mail-Adresse, Unternehmensinformationen, Content-Eingaben, Zahlungsdaten, öffentliche Social-Media-Daten
Kategorien Betroffener Kunden des Auftraggebers, Mitarbeiter des Auftraggebers
Zweck Erstellung und Verwaltung von Social-Media-Content im Auftrag des Auftraggebers
Ort der Verarbeitung Ausschließlich innerhalb der EU (Deutschland – Hetzner Online GmbH)

§ 3 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

§ 4 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft folgende Maßnahmen gem. Art. 32 DSGVO:

  • Zutrittskontrolle: Server ausschließlich in zertifizierten Rechenzentren (Hetzner, ISO 27001); kein physischer Zugang Dritter zu den Systemen
  • Zugangskontrolle: Starke Passwörter und SSH-Key-Authentifizierung; Zwei-Faktor-Authentifizierung für alle administrativen Zugänge
  • Zugriffskontrolle: Minimales Rechteprinzip (Need-to-know); separate Umgebungen pro Kunde soweit technisch möglich
  • Übertragungskontrolle: Alle Datenübertragungen verschlüsselt (TLS 1.2 / 1.3); HTTPS für sämtliche Webkommunikation
  • Verfügbarkeitskontrolle: Regelmäßige Datensicherungen; Monitoring und Incident-Management

§ 5 Unterauftragsverarbeiter

Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:

Anbieter Zweck / Sitz
Hetzner Online GmbH Hosting / Deutschland
Mistral AI S.A.S. KI-Textgenerierung / Frankreich (EU)
Black Forest Labs GmbH KI-Bildgenerierung / Deutschland
Apify Technologies s.r.o. Social-Media-Datenerhebung (Instagram) / Tschechien (EU)
Stripe Technology Europe Ltd. Zahlungsabwicklung / Irland (EU)

Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zum Einsatz dieser Unterauftragsverarbeiter. Änderungen werden dem Auftraggeber rechtzeitig mitgeteilt; er hat das Recht, Änderungen zu widersprechen.

§ 6 Pflichten des Auftragnehmers

  • Vertraulichkeit der Daten gewährleisten und Mitarbeiter zur Vertraulichkeit verpflichten
  • Unverzügliche Meldung von Datenschutzverletzungen (Art. 33 DSGVO) binnen 72 Stunden
  • Unterstützung bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung etc.)
  • Datenschutz-Folgenabschätzungen auf Anfrage unterstützen
  • Alle relevanten Nachweise auf Anfrage vorlegen

§ 7 Löschung und Rückgabe

Nach Beendigung des Dienstleistungsvertrags werden personenbezogene Daten des Auftraggebers auf dessen Wunsch entweder zurückgegeben oder datenschutzkonform gelöscht. Dies erfolgt innerhalb von 30 Tagen nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 8 Haftung

Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO sowie dem zugrundeliegenden Dienstleistungsvertrag. Jede Partei haftet für Schäden, die durch Verstöße gegen diesen AVV entstehen, die ihr zurechenbar sind.

§ 9 Anwendbares Recht & Gerichtsstand

Es gilt deutsches Recht. Gerichtsstand ist [PLATZHALTER – Wohnort].

Stand: Mai 2026