Auftragsverarbeitungsvertrag (AVV)

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO im Rahmen der Nutzung des MABTED. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen. Die Verarbeitung beginnt mit Abschluss des Nutzungsvertrags (AGB/Terms of Service) und besteht für die Dauer der Nutzung des Dienstes.

Zweck: Verwaltung von Influencer-Kooperationen, Kampagnen und Performance-Metriken Art der Daten: - Kontaktdaten (Name, E-Mail-Adresse, ggf. Unternehmensbezeichnung) - Influencer-Daten (Namen, Social-Media-Handles, Follower-Zahlen, Nischen, Kontaktdaten) - Markendaten (Unternehmensbezeichnungen, Kontaktpersonen) - Kampagnen- und Engagement-Daten (Verträge, Budgets, Zeiträume, Deliverables, Metriken) - Performance-Metriken (TKP, ROAS, Engagement-Raten, Umsatzdaten) - Shopify-Kontodaten und Umsatzinformationen - Gmail-Kontodaten und E-Mail-Verläufe Kategorien betroffener Personen: - Beschäftigte der Kund:innen - Influencer:innen, deren Daten von den Kund:innen verwaltet werden - Kontaktpersonen von Marken

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er kann jederzeit Weisungen zur Verarbeitung erteilen, Änderungen anfordern oder die Löschung von Daten verlangen. Er ist verpflichtet, Betroffenenrechte (z. B. Auskunft, Löschung, Berichtigung) eigenständig zu erfüllen.

Der Auftragsverarbeiter verpflichtet sich: - personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten - Vertraulichkeit aller Beschäftigten sicherzustellen - geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten zu implementieren - Betroffene bei der Wahrnehmung ihrer Rechte zu unterstützen - Datenschutzverletzungen unverzüglich zu melden - alle Unterauftragsverarbeiter vertraglich zur Einhaltung der DSGVO zu verpflichten

Der Auftragsverarbeiter gewährleistet Datensicherheit durch: - TLS-Verschlüsselung bei Übertragung und AES-256 bei Speicherung - rollenbasiertes Zugriffssystem - verschlüsselte API-Tokens und Zugriffsschlüssel - Protokollierung aller Zugriffe - regelmäßige Sicherheitsupdates - Hosting auf Servern innerhalb der EU (Frankfurt/Amsterdam)

| Anbieter | Sitz | Zweck | Rechtsgrundlage | |---------------------|-----------------|-----------------|------------------------------| | Supabase Inc. | EU (Frankfurt/Amsterdam) | Hosting, Datenbank, Authentifizierung | Art. 28 DSGVO | | Vercel Inc. | EU/USA | Frontend-Hosting | Art. 28 DSGVO | | Stripe Payments Europe Ltd. | Irland | Zahlungsabwicklung | Art. 28 DSGVO | | Google Ireland Ltd. | Irland | Gmail-Integration | Art. 28 DSGVO | | Shopify Inc. | Kanada | Shopify-Integration | Art. 28 DSGVO | Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen bei Unterauftragsverarbeitern.

Nach Beendigung der Vertragsbeziehung werden personenbezogene Daten nach 30 Tagen automatisch gelöscht oder anonymisiert; auf schriftliche Anforderung des Verantwortlichen vorzeitig gelöscht oder exportiert. Sicherungskopien werden nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht.

Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV zu überprüfen. Der Auftragsverarbeiter ermöglicht auf Anfrage Auskunft über die getroffenen technischen und organisatorischen Maßnahmen und kann Nachweise (z. B. Penetration-Tests, Audit-Berichte) bereitstellen.

Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags (AGB/Terms of Service). Bei Verstößen gegen Datenschutzvorschriften haftet jede Partei im Rahmen ihrer Verantwortlichkeit.

Dieser Vertrag gilt ab dem Zeitpunkt der Annahme der AGB/Terms of Service als abgeschlossen. Er ist Bestandteil des Hauptvertrags und gilt für alle Verarbeitungsvorgänge, die im Rahmen der Nutzung des MABTED erfolgen. Es gilt deutsches Recht. Gerichtsstand ist Hamburg, sofern gesetzlich zulässig.