§ 1 Gegenstand und Dauer der Verarbeitung
Der Auftragsverarbeiter (Dalakakis & Qureshi GbR, Hallstraße 6, 70376 Stuttgart) verarbeitet im Rahmen der Bereitstellung der napa-Software personenbezogene Daten im Auftrag des Verantwortlichen (Kunde).
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (Abonnement) und endet mit dessen Beendigung zuzüglich einer 30-tägigen Lösch-Frist.
§ 2 Art und Zweck der Verarbeitung
Folgende Verarbeitungsvorgänge finden statt:
- Speicherung von OAuth-Tokens zur API-Authentifizierung
- Empfang, Speicherung und Anzeige von eingehenden DMs und Kommentaren
- Versand von Posts an verbundene Social-Media-Plattformen
- Speicherung und Bereitstellung von Medien-Inhalten (Bilder, Videos)
- Versand transaktionaler Antworten und Reply-Nachrichten
- Backup-Replikation in Hetzner Nürnberg (täglich)
§ 3 Art der personenbezogenen Daten
- Account-Daten (E-Mail, Name) der Nutzer der Kunden-App
- Inhalte aus Direktnachrichten, Kommentaren und Mentions
- Profil-Metadaten (Username, Profilbild) verbundener Plattformen
- OAuth-Access-Tokens (AES-256-GCM-verschlüsselt at-rest)
- Mediendateien (vom Kunden hochgeladen)
§ 4 Kategorien betroffener Personen
- Mitarbeiter und Team-Mitglieder des Kunden
- Empfänger und Absender von Social-Media-Nachrichten
- Kommentierende Nutzer auf den Beiträgen des Kunden
§ 5 Pflichten des Auftragsverarbeiters
- Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen
- Vertraulichkeitsverpflichtung aller mit der Verarbeitung befassten Personen
- Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen gem. § 6 dieses Vertrages
- Unterstützung des Verantwortlichen bei Anfragen betroffener Personen (Art. 12-22 DSGVO)
- Unverzügliche Meldung von Datenschutzverletzungen (binnen 24h nach Kenntnisnahme)
- Löschung oder Rückgabe aller personenbezogenen Daten nach Vertragsende (binnen 30 Tagen)
§ 6 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft folgende Maßnahmen:
Zutrittskontrolle
Hosting im Rechenzentrum der Hetzner Online GmbH (Nürnberg/Falkenstein). Physischer Zutritt durch Sicherheitspersonal, Vereinzelungsanlagen, Video-Überwachung und biometrische Kontrollen geregelt.
Zugangskontrolle
Login über E-Mail + bcrypt-gehashtes Passwort (12 Rounds). Optional Zwei-Faktor-Authentifizierung mit TOTP. Sessions HMAC-signiert, httpOnly-Cookies, SameSite=Lax.
Zugriffskontrolle
Rollenbasiertes Zugriffsmodell (Owner / Admin / Editor / Viewer). Workspace-Isolation auf Datenbank-Query-Ebene.
Weitergabekontrolle
TLS 1.3 für alle Verbindungen. OAuth-Tokens AES-256-GCM verschlüsselt at-rest. Keine Weitergabe an Dritte außer den ausdrücklich aufgeführten Sub-Auftragsverarbeitern (§ 8).
Eingabekontrolle
Alle System-Aktionen werden geloggt (Audit-Trail). Manipulationssichere Speicherung von Webhook-Signaturen (HMAC-SHA256).
Auftragskontrolle
Verarbeitung nur auf Weisung. Klare Auftragnehmer/Sub-Auftragnehmer- Regelungen.
Verfügbarkeitskontrolle
Tägliche Datenbank-Backups, 30 Tage Retention. Hetzner-SLA 99,9% Hardware-Verfügbarkeit. SLA der Software: 99,5%.
Trennungsgebot
Mandantenfähigkeit auf DB-Ebene durch workspace_id-Spalte. Strikte Trennung von Test- und Produktivumgebung.
§ 7 Pflichten des Verantwortlichen
- Verantwortung für die Rechtmäßigkeit der Verarbeitung gegenüber den Betroffenen
- Einholung der erforderlichen Einwilligungen seiner Nutzer
- Bereitstellung der notwendigen Konfigurations- und Rechte-Informationen
§ 8 Sub-Auftragsverarbeiter
Der Verantwortliche stimmt der Einschaltung folgender Sub-Auftragsverarbeiter zu:
| Unterauftragnehmer | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Hosting, Datenbank, Backups | Deutschland |
| Meta Platforms Ireland Ltd. | Instagram/Facebook/WhatsApp/Threads-API | Irland (EU) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) |
| Anthropic PBC | KI-Caption-Generierung (optional) | USA — Standardvertragsklauseln |
| OpenAI OpCo LLC | KI-Bildgenerierung (optional) | USA — Standardvertragsklauseln |
§ 9 Kontrollrechte des Verantwortlichen
Der Verantwortliche ist berechtigt, sich von der Einhaltung dieses Vertrages durch Vor-Ort-Kontrollen oder durch beauftragte Dritte zu überzeugen. Die Kontrollen sind rechtzeitig anzukündigen und auf das erforderliche Maß zu beschränken.
§ 10 Schlussbestimmungen
Es gilt deutsches Recht. Gerichtsstand ist Stuttgart, soweit gesetzlich zulässig. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.
Hinweis zur Rechtsverbindlichkeit
Diese AVV-Vorlage ist sorgfältig erstellt aber keine individuelle Rechtsberatung. Bei höherem Compliance-Bedarf (z.B. Banken, Krankenkassen, öffentliche Hand) bieten wir gerne eine individuell gegengezeichnete Version an. Kontakt: info@napawebagentur.de