Data Processing Agreement

1. Gegenstand und Dauer

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO im Rahmen der Nutzung des MABTED.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen.

Die Verarbeitung beginnt mit Abschluss des Nutzungsvertrags (AGB/Terms of Service) und besteht für die Dauer der Nutzung des Dienstes.

2. Art und Zweck der Verarbeitung

Zweck: Verwaltung von Influencer-Kooperationen, Kampagnen und Performance-Metriken

Art der Daten:

Kontaktdaten (Name, E-Mail-Adresse, ggf. Unternehmensbezeichnung)
Influencer-Daten (Namen, Social-Media-Handles, Follower-Zahlen, Nischen, Kontaktdaten)
Markendaten (Unternehmensbezeichnungen, Kontaktpersonen)
Kampagnen- und Engagement-Daten (Verträge, Budgets, Zeiträume, Deliverables, Metriken)
Performance-Metriken (TKP, ROAS, Engagement-Raten, Umsatzdaten)
Shopify-Kontodaten und Umsatzinformationen
Gmail-Kontodaten und E-Mail-Verläufe

Kategorien betroffener Personen:

Beschäftigte der Kund:innen
Influencer:innen, deren Daten von den Kund:innen verwaltet werden
Kontaktpersonen von Marken

3. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er kann jederzeit Weisungen zur Verarbeitung erteilen, Änderungen anfordern oder die Löschung von Daten verlangen. Er ist verpflichtet, Betroffenenrechte (z. B. Auskunft, Löschung, Berichtigung) eigenständig zu erfüllen.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten
Vertraulichkeit aller Beschäftigten sicherzustellen
geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten zu implementieren
Betroffene bei der Wahrnehmung ihrer Rechte zu unterstützen
Datenschutzverletzungen unverzüglich zu melden
alle Unterauftragsverarbeiter vertraglich zur Einhaltung der DSGVO zu verpflichten

5. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter gewährleistet Datensicherheit durch:

TLS-Verschlüsselung bei Übertragung und AES-256 bei Speicherung
rollenbasiertes Zugriffssystem
verschlüsselte API-Tokens und Zugriffsschlüssel
Protokollierung aller Zugriffe
regelmäßige Sicherheitsupdates
Hosting auf Servern innerhalb der EU (Frankfurt/Amsterdam)

6. Unterauftragsverarbeiter

Anbieter	Sitz	Zweck	Datenkategorien	Übermittlungsgrundlage
Supabase Inc.	EU (Frankfurt) — Bestätigung des Verantwortlichen	Hosting, Datenbank, Speicher, Authentifizierung	sämtliche Anwendungsdaten	Art. 28 DSGVO
Vercel Inc.	EU (fra1, ab 2026-05) / vormals USA	Frontend- & Serverless-Function-Hosting	sämtliche Request/Response-Inhalte	Art. 28 DSGVO; SCCs für US-Restrisiken
Google Ireland Ltd. (Gmail / Workspace)	Irland (EU/USA)	Gmail-Integration: Versand und Lesen von Nachrichten unter Nutzung individueller OAuth-Berechtigungen	E-Mail-Adressen, Nachrichteninhalte, Anhänge, Anzeigenamen	Art. 28 DSGVO; DPF / SCCs
Google Ireland Ltd. (Google Analytics 4)	Irland (EU/USA)	Aggregierte Webseitenstatistik (nur nach Einwilligung; IP-Anonymisierung aktiv)	Pseudonyme Client-ID, Seitenpfade, gekürzte IP	Art. 28 DSGVO; DPF / SCCs
Microsoft Ireland Operations Ltd. (Microsoft Clarity)	Irland (EU/USA)	Anonyme Session-Aufzeichnung & Heatmaps (nur nach separater Einwilligung; Tastatureingaben werden maskiert)	Maus-/Klick-/Scroll-Ereignisse, Geräte-Metadaten, gekürzte IP	Art. 28 DSGVO; DPF / SCCs
Anthropic, PBC	USA	KI-gestützte Auswertung (Pearl-Assistent, Verhandlungsextraktion, Screenshot-Analyse, Schreibstil-Analyse, Entwurfsgenerierung)	Konversationsinhalte, ausgewählte Gmail-Nachrichten, Screenshot-Inhalte	Art. 28 DSGVO; SCCs (per Verweis in Anthropic Commercial Terms eingebunden); DPF; Zero-Data-Retention beantragt; keine Nutzung zum Modelltraining
OpenAI, OpCo, LLC	USA	KI-gestützte Vision/Recherche-Auswertung (Storyclash-Importe)	hochgeladene Screenshots/PDFs mit öffentlichen Profildaten	Art. 28 DSGVO; SCCs
Mistral AI SAS	Frankreich (EU)	KI-OCR/Vision für Recherche-Importe (Hinweis: Dateien werden serverseitig zwischengespeichert)	hochgeladene Screenshots/PDFs	Art. 28 DSGVO
Apify Technologies s.r.o.	Tschechien (EU/USA-Infrastruktur)	Profilbild-Anreicherung & Story-Scraping bei Instagram	öffentlich verfügbare Profildaten, ggf. abgeladene Stories	Art. 28 DSGVO; SCCs für US-Restrisiken
Shopify Inc.	Kanada	Coupon-, Bestell- und Seeding-Tracking	Influencername, E-Mail, Telefon, Versandadresse (ausgehend); aggregierte Bestelldaten (eingehend)	Art. 28 DSGVO; Adäquanzbeschluss Kanada (kommerzieller Sektor)
Stripe Payments Europe Ltd.	Irland	Zahlungsabwicklung (sofern aktiviert)	Zahlungs- und Rechnungsdaten	Art. 28 DSGVO

Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen bei Unterauftragsverarbeitern. Die Liste wird bei wesentlichen Änderungen aktualisiert; Stand: 4. Mai 2026.

7. Löschung und Rückgabe von Daten

Nach Beendigung der Vertragsbeziehung werden personenbezogene Daten nach 30 Tagen automatisch gelöscht oder anonymisiert; auf schriftliche Anforderung des Verantwortlichen vorzeitig gelöscht oder exportiert. Sicherungskopien werden nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht.

8. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV zu überprüfen. Der Auftragsverarbeiter ermöglicht auf Anfrage Auskunft über die getroffenen technischen und organisatorischen Maßnahmen und kann Nachweise (z. B. Penetration-Tests, Audit-Berichte) bereitstellen.

9. Haftung

Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags (AGB/Terms of Service). Bei Verstößen gegen Datenschutzvorschriften haftet jede Partei im Rahmen ihrer Verantwortlichkeit.

10. Schlussbestimmungen

Dieser Vertrag gilt ab dem Zeitpunkt der Annahme der AGB/Terms of Service als abgeschlossen. Er ist Bestandteil des Hauptvertrags und gilt für alle Verarbeitungsvorgänge, die im Rahmen der Nutzung des MABTED erfolgen. Es gilt deutsches Recht. Gerichtsstand ist Hamburg, sofern gesetzlich zulässig.

Auftragsverarbeitungsvertrag (AVV)