Auftragsverarbeitungsvertrag (AVV) – Standardfassung
Stand: 28. März 2026
Diese Seite stellt die Standard-AVV für PostingPilot bereit. Sie gilt ergänzend zu den AGB, sobald ein Kunde personenbezogene Daten im Rahmen der Nutzung durch den Anbieter verarbeiten lässt.
1. Parteien
Auftragnehmer (Verarbeiter):
Doppelklick – Agentur für „NEUE" Medien, Kevin Kellermann,
Wiemelhauser Str. 381, 44799 Bochum, Deutschland,
E-Mail: info@postingpilot.de
Auftraggeber (Verantwortlicher):
Der jeweilige Kunde von PostingPilot.
2. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der SaaS-Plattform PostingPilot (Content-Planung, Nutzerkonto, Support, Abrechnung). Die Laufzeit entspricht der Laufzeit des Hauptvertrags.
3. Art und Zweck der Verarbeitung
- Hosting und technischer Betrieb der Anwendung
- Speicherung und Darstellung von Nutzerdaten/Inhalten
- Bearbeitung von Supportanfragen
- Abrechnung/Subscription-Verwaltung
- KI-gestützte Content-Generierung über externe API
4. Kategorien betroffener Personen und Daten
- Betroffene Personen: Nutzer des Auftraggebers, Ansprechpartner, ggf. Endkundenkontakte in Inhalten
- Datenkategorien: Kontaktdaten, Nutzungsdaten, Inhaltsdaten, Kommunikationsdaten, Abrechnungsdaten
5. Weisungen
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Pflicht zur abweichenden Verarbeitung besteht.
6. Vertraulichkeit
Der Auftragnehmer stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer trifft gemäß Art. 32 DSGVO folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten:
- Zugriffskontrolle: SSH-Key-Authentifizierung für Serverzugang, Zwei-Faktor-Authentifizierung (TOTP) für den Admin-Bereich, session-basierte Authentifizierung für Nutzer.
- Transportverschlüsselung: TLS 1.2+ für alle Webverbindungen (Let's Encrypt), SMTP-TLS für E-Mail-Versand.
- Eingabekontrolle: Audit-Logging aller Authentifizierungsereignisse (Login, Logout, fehlgeschlagene Versuche, Passwort-Änderungen) sowie Webhook-Ereignisse.
- Verfügbarkeitskontrolle: Tägliche Backups, RAID-Speicher beim Hosting-Anbieter (IONOS SE).
- Trennungsgebot: Mandantentrennung durch nutzerspezifische Datenschlüssel; strikte Trennung der Kundendaten auf Datenbankebene.
- Passwörter: Ausschließliche Speicherung als bcrypt-Hash (Cost-Faktor ≥ 10); Klartextpasswörter werden zu keinem Zeitpunkt gespeichert.
8. Unterauftragsverarbeiter
Der Auftragnehmer setzt die folgenden Unterauftragsverarbeiter ein. Der Auftraggeber stimmt dem Einsatz dieser Unterauftragsverarbeiter mit Abschluss dieses AVV zu. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Auftraggeber die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.
| Unternehmen | Standort | Zweck | Garantien |
|---|---|---|---|
| IONOS SE | Montabaur, Deutschland | Hosting, Datenspeicherung, E-Mail-Versand | AVV gem. Art. 28 DSGVO, Verarbeitung in Deutschland |
| Stripe Inc. | San Francisco, USA | Zahlungsabwicklung | DPF-zertifiziert (EU-US Data Privacy Framework) |
| OpenAI, L.L.C. | San Francisco, USA | KI-gestützte Content-Generierung | DPF-zertifiziert (EU-US Data Privacy Framework) |
| Telegram FZ-LLC | Dubai, VAE | Interne Admin-Benachrichtigungen (anonymisiert, ohne Personenbezug) | Keine personenbezogenen Daten übermittelt |
9. Betroffenenrechte
Der Auftragnehmer unterstützt den Auftraggeber im angemessenen Umfang bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung etc.).
9a. Audit- und Kontrollrechte
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei (Art. 28 Abs. 3 lit. h DSGVO).
10. Meldung von Datenschutzvorfällen
Der Auftragnehmer informiert den Auftraggeber unverzüglich über relevante Verletzungen des Schutzes personenbezogener Daten, soweit diese die Auftragsverarbeitung betreffen.
11. Löschung und Rückgabe
Nach Vertragsende erfolgt die Löschung bzw. Anonymisierung personenbezogener Daten gemäß Hauptvertrag/AGB, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
12. Schluss
Diese AVV wird ausschließlich in dieser Standardfassung angeboten. Individuelle Redlines oder Sondervereinbarungen (Enterprise-Sonderkonditionen) sind ausgeschlossen.