← Zurück

Auftragsverarbeitungsvertrag (AVV)

Nach Art. 28 DSGVO zwischen dir (Verantwortlicher) und uns (Auftragsverarbeiter).

Schnell-Abschluss für Business- und Agency-Kunden

Im Pro- und Agency-Plan ist der AVV automatisch Bestandteil der AGB. Für Großkunden mit eigener Compliance-Abteilung stellen wir gerne eine gegengezeichnete Version bereit — schreib uns kurz unter /help.

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter (Dalakakis & Qureshi GbR, Hallstraße 6, 70376 Stuttgart) verarbeitet im Rahmen der Bereitstellung der napa-Software personenbezogene Daten im Auftrag des Verantwortlichen (Kunde).

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (Abonnement) und endet mit dessen Beendigung zuzüglich einer 30-tägigen Lösch-Frist.

§ 2 Art und Zweck der Verarbeitung

Folgende Verarbeitungsvorgänge finden statt:

  • Speicherung von OAuth-Tokens zur API-Authentifizierung
  • Empfang, Speicherung und Anzeige von eingehenden DMs und Kommentaren
  • Versand von Posts an verbundene Social-Media-Plattformen
  • Speicherung und Bereitstellung von Medien-Inhalten (Bilder, Videos)
  • Versand transaktionaler Antworten und Reply-Nachrichten
  • Backup-Replikation in Hetzner Nürnberg (täglich)

§ 3 Art der personenbezogenen Daten

  • Account-Daten (E-Mail, Name) der Nutzer der Kunden-App
  • Inhalte aus Direktnachrichten, Kommentaren und Mentions
  • Profil-Metadaten (Username, Profilbild) verbundener Plattformen
  • OAuth-Access-Tokens (AES-256-GCM-verschlüsselt at-rest)
  • Mediendateien (vom Kunden hochgeladen)

§ 4 Kategorien betroffener Personen

  • Mitarbeiter und Team-Mitglieder des Kunden
  • Empfänger und Absender von Social-Media-Nachrichten
  • Kommentierende Nutzer auf den Beiträgen des Kunden

§ 5 Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen
  • Vertraulichkeitsverpflichtung aller mit der Verarbeitung befassten Personen
  • Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen gem. § 6 dieses Vertrages
  • Unterstützung des Verantwortlichen bei Anfragen betroffener Personen (Art. 12-22 DSGVO)
  • Unverzügliche Meldung von Datenschutzverletzungen (binnen 24h nach Kenntnisnahme)
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Vertragsende (binnen 30 Tagen)

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft folgende Maßnahmen:

Zutrittskontrolle

Hosting im Rechenzentrum der Hetzner Online GmbH (Nürnberg/Falkenstein). Physischer Zutritt durch Sicherheitspersonal, Vereinzelungsanlagen, Video-Überwachung und biometrische Kontrollen geregelt.

Zugangskontrolle

Login über E-Mail + bcrypt-gehashtes Passwort (12 Rounds). Optional Zwei-Faktor-Authentifizierung mit TOTP. Sessions HMAC-signiert, httpOnly-Cookies, SameSite=Lax.

Zugriffskontrolle

Rollenbasiertes Zugriffsmodell (Owner / Admin / Editor / Viewer). Workspace-Isolation auf Datenbank-Query-Ebene.

Weitergabekontrolle

TLS 1.3 für alle Verbindungen. OAuth-Tokens AES-256-GCM verschlüsselt at-rest. Keine Weitergabe an Dritte außer den ausdrücklich aufgeführten Sub-Auftragsverarbeitern (§ 8).

Eingabekontrolle

Alle System-Aktionen werden geloggt (Audit-Trail). Manipulationssichere Speicherung von Webhook-Signaturen (HMAC-SHA256).

Auftragskontrolle

Verarbeitung nur auf Weisung. Klare Auftragnehmer/Sub-Auftragnehmer- Regelungen.

Verfügbarkeitskontrolle

Tägliche Datenbank-Backups, 30 Tage Retention. Hetzner-SLA 99,9% Hardware-Verfügbarkeit. SLA der Software: 99,5%.

Trennungsgebot

Mandantenfähigkeit auf DB-Ebene durch workspace_id-Spalte. Strikte Trennung von Test- und Produktivumgebung.

§ 7 Pflichten des Verantwortlichen

  • Verantwortung für die Rechtmäßigkeit der Verarbeitung gegenüber den Betroffenen
  • Einholung der erforderlichen Einwilligungen seiner Nutzer
  • Bereitstellung der notwendigen Konfigurations- und Rechte-Informationen

§ 8 Sub-Auftragsverarbeiter

Der Verantwortliche stimmt der Einschaltung folgender Sub-Auftragsverarbeiter zu:

UnterauftragnehmerZweckStandort
Hetzner Online GmbHHosting, Datenbank, BackupsDeutschland
Meta Platforms Ireland Ltd.Instagram/Facebook/WhatsApp/Threads-APIIrland (EU)
Stripe Payments Europe Ltd.ZahlungsabwicklungIrland (EU)
Anthropic PBCKI-Caption-Generierung (optional)USA — Standardvertragsklauseln
OpenAI OpCo LLCKI-Bildgenerierung (optional)USA — Standardvertragsklauseln

§ 9 Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, sich von der Einhaltung dieses Vertrages durch Vor-Ort-Kontrollen oder durch beauftragte Dritte zu überzeugen. Die Kontrollen sind rechtzeitig anzukündigen und auf das erforderliche Maß zu beschränken.

§ 10 Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand ist Stuttgart, soweit gesetzlich zulässig. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.

Hinweis zur Rechtsverbindlichkeit

Diese AVV-Vorlage ist sorgfältig erstellt aber keine individuelle Rechtsberatung. Bei höherem Compliance-Bedarf (z.B. Banken, Krankenkassen, öffentliche Hand) bieten wir gerne eine individuell gegengezeichnete Version an. Kontakt: info@napawebagentur.de

Als PDF speichern: Strg+P
Gegenzeichnung anfragen