Rechtliche Dokumente

  • Impressum
  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen
  • Nutzungsbedingungen
  • Widerrufsbelehrung
  • Auftragsverarbeitungsvertrag (AVV)
  • EU KI-Verordnung
← Zurück zu handsfree-creator.de

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch handsfree-creator.de im Auftrag des Kunden (Verantwortlicher) gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).

1. Vertragsparteien

Auftragsverarbeiter

Martin Koch
handsfree-creator.de
Johannes-Schriefers-Weg 4
47877 Willich
Deutschland
E-Mail: hello@handsfree-creator.de

Verantwortlicher

Der Verantwortliche ist der Kunde, der den Dienst handsfree-creator.de im Rahmen eines Abonnements nutzt.

2. Gegenstand, Art und Zweck der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Bereitstellung des SaaS-Dienstes handsfree-creator.de. Dieser Dienst ermöglicht die KI-gestützte Erstellung von Social-Media-Inhalten (Captions, Hooks, Hashtags, Ideen, Beiträge) sowie die KI-gestützte Analyse öffentlicher Social-Media-Daten auf Basis der vom Verantwortlichen bereitgestellten Marken- und Profildaten.

Art der Verarbeitung

  • Speicherung von Eingabedaten (Markenprofile, Bios, Content-Beispiele)
  • Erhebung öffentlich zugänglicher Social-Media-Daten (Instagram) via Apify
  • Übermittlung von Eingabedaten an KI-Dienste zur Inferenz
  • Speicherung und Auslieferung generierter Inhalte
  • Zahlungsverarbeitung über Stripe Technology Europe Ltd.

Zweck der Verarbeitung

Ausschließlich zur Erbringung des vertraglich vereinbarten Dienstes (Generierung und Planung von Social-Media-Content). Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

3. Art der personenbezogenen Daten

Im Rahmen der Leistungserbringung werden folgende Kategorien personenbezogener Daten verarbeitet:

  • Stammdaten: Name, E-Mail-Adresse des Nutzers
  • Inhaltsdaten: Markenname, Social-Media-Bio, Content-Beispiele, Zielgruppen-Informationen
  • Öffentliche Social-Media-Daten: öffentliche Instagram-Profile und Beiträge (nur öffentlich zugängliche Daten)
  • Nutzungsdaten: IP-Adresse, Session-Daten, Zeitstempel
  • Zahlungsdaten: Transaktions-IDs (keine vollständigen Zahlungsdaten — diese werden direkt durch Stripe verarbeitet)

4. Kategorien betroffener Personen

  • Kunden (Abonnenten) des Dienstes
  • Inhaber öffentlicher Instagram-Profile, deren Daten zur Analyse verwendet werden
  • Ggf. von Kunden genannte Dritte (z. B. im Rahmen von Marken- oder Zielgruppenbeschreibungen)

5. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses. Nach Beendigung des Vertrags werden personenbezogene Daten spätestens innerhalb von 30 Tagen gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. Pflichten des Auftragsverarbeiters

Weisungsgebundenheit (Art. 28 Abs. 3 lit. a DSGVO)

Personenbezogene Daten werden ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeitet.

Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)

Alle mit der Verarbeitung befassten Personen haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht.

Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Es werden angemessene technische und organisatorische Schutzmaßnahmen umgesetzt, insbesondere:

  • Verschlüsselte Datenübertragung (TLS/HTTPS)
  • Zugriffskontrolle und Authentifizierung (SSH-Key, 2FA)
  • Minimales Rechteprinzip (Need-to-know)
  • Regelmäßige Sicherheitsupdates
  • Serverstandort ausschließlich in der EU (Hetzner, Deutschland, ISO 27001)

Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO)

Der Einsatz von Unterauftragsverarbeitern erfolgt nur mit vorheriger allgemeiner oder gesonderter schriftlicher Genehmigung des Verantwortlichen. Durch die Nutzung des Dienstes erklärt der Verantwortliche seine Zustimmung zu den nachfolgend genannten Unterauftragsverarbeitern.

Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen (Auskunft, Löschung, Berichtigung, Einschränkung, Datenübertragbarkeit).

Löschung oder Rückgabe (Art. 28 Abs. 3 lit. g DSGVO)

Nach Abschluss der Verarbeitung werden personenbezogene Daten nach Wahl des Verantwortlichen zurückgegeben oder gelöscht.

Nachweispflicht (Art. 28 Abs. 3 lit. h DSGVO)

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Audits.

7. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein. Alle Anbieter haben ihren Sitz innerhalb der EU — eine Drittlandübermittlung findet nicht statt.

Dienstleister Sitz Zweck Datenschutzgrundlage
Hetzner Online GmbH Gunzenhausen, Deutschland (EU) Server-Hosting (Backend) Art. 28 DSGVO (AVV)
Mistral AI S.A.S. Paris, Frankreich (EU) KI-Textgenerierung Art. 28 DSGVO (AVV)
Black Forest Labs GmbH Freiburg im Breisgau, Deutschland (EU) KI-Bildgenerierung (FLUX) Art. 28 DSGVO (AVV)
Apify Technologies s.r.o. Prag, Tschechien (EU) Social-Media-Datenerhebung (öffentliche Instagram-Daten) Art. 28 DSGVO (AVV); Art. 6 Abs. 1 lit. f DSGVO
Stripe Technology Europe Ltd. Dublin, Irland (EU) Zahlungsabwicklung Art. 28 DSGVO (AVV)

Änderungen bei Unterauftragsverarbeitern werden dem Verantwortlichen rechtzeitig mitgeteilt. Der Verantwortliche kann gegen Änderungen Einwände erheben.

8. Pflichten des Verantwortlichen

  • Der Verantwortliche stellt sicher, dass die Verarbeitung der Daten auf einer Rechtsgrundlage gemäß Art. 6 DSGVO beruht.
  • Der Verantwortliche erteilt Weisungen ausschließlich in schriftlicher Form (einschließlich elektronischer Übermittlung).
  • Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn ihm Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse auffallen.

9. Datenpannen (Art. 33, 34 DSGVO)

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (binnen 72 Stunden) über Datenschutzverletzungen, die ihm bekannt werden. Die Meldung an die zuständige Aufsichtsbehörde und betroffene Personen liegt in der Verantwortung des Verantwortlichen.

10. Haftung

Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO sowie dem zugrundeliegenden Dienstleistungsvertrag. Jede Partei haftet für Schäden, die durch Verstöße gegen diesen AVV entstehen, die ihr zurechenbar sind.

11. Anwendbares Recht

Es gilt deutsches Recht. Gerichtsstand ist Willich, Deutschland.

12. Kontakt und Anfragen

Bei Fragen zur Datenverarbeitung oder zum AVV wenden Sie sich an:

Martin Koch
Johannes-Schriefers-Weg 4
47877 Willich
Deutschland
E-Mail: hello@handsfree-creator.de

Stand: Juni 2026

handsfree-creator.de © 2026