Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO • Stand: Januar 2026
Präambel
Dieser Auftragsverarbeitungsvertrag ("AVV") wird geschlossen zwischen:
- Auftraggeber: Der Kunde, der die AnimaContent Platform nutzt (nachfolgend "Verantwortlicher")
- Auftragnehmer: AnimaContent, Inhaber Ervin Keljic(nachfolgend "Auftragsverarbeiter")
Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und gilt für alle Datenverarbeitungen, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der AnimaContent Platform durchführt.
§ 1 Gegenstand und Dauer der Verarbeitung
1.1 Gegenstand
Der Auftragsverarbeiter stellt dem Verantwortlichen die AnimaContent Platform als Software-as-a-Service (SaaS) zur Verfügung. Dies umfasst:
- Website-Hosting und Content-Management-System (CMS)
- Newsletter- und E-Mail-Marketing-Dienste (AWS SES)
- KI-gestützte Content-Erstellung und -Optimierung (Google Gemini)
- Web-Analytics (Matomo)
- Formular-Verarbeitung und Kontaktmanagement
- Domain-Verwaltung und DNS-Konfiguration
- Datenspeicherung und -sicherung (Supabase PostgreSQL)
1.2 Dauer
Dieser AVV gilt für die gesamte Dauer der Nutzung der AnimaContent Platform. Er endet automatisch mit Beendigung des Hauptvertrags (AGB/Nutzungsvertrag).
§ 2 Art und Zweck der Verarbeitung
2.1 Newsletter-Dienst
| Zweck: | Versand von Newslettern und Marketing-E-Mails im Auftrag des Verantwortlichen |
| Datenarten: | E-Mail-Adressen, Namen, Anmeldezeitpunkt, IP-Adresse bei Anmeldung, Öffnungs-/Klickverhalten |
| Betroffene: | Newsletter-Abonnenten des Verantwortlichen |
| Unterauftragnehmer: | Amazon Web Services EMEA SARL (AWS SES), Luxemburg |
2.2 KI-Dienste
| Zweck: | KI-gestützte Texterstellung, -optimierung und SEO-Analyse |
| Datenarten: | Vom Verantwortlichen eingegebene Texte und Prompts (keine personenbezogenen Daten erforderlich) |
| Unterauftragnehmer: | Google Ireland Ltd. (Gemini API), Irland |
2.3 Web-Analytics
| Zweck: | Analyse des Nutzerverhaltens auf der Website des Verantwortlichen |
| Datenarten: | IP-Adresse (anonymisiert), Seitenaufrufe, Verweildauer, Referrer, Geräte-Informationen |
| Besonderheit: | Matomo wird mit IP-Anonymisierung und Cookie-Consent betrieben (DSGVO-konform) |
2.4 Formular-Verarbeitung
| Zweck: | Entgegennahme und Speicherung von Kontaktanfragen |
| Datenarten: | Vom Verantwortlichen definierte Formularfelder (typisch: Name, E-Mail, Nachricht) |
| Aufbewahrung: | Automatische Löschung nach 180 Tagen (konfigurierbar) |
2.5 Hosting und Datenspeicherung
| Zweck: | Bereitstellung der Website und Speicherung aller Plattform-Daten |
| Unterauftragnehmer: | Vercel Inc., USA (Hosting, mit EU-Datenverarbeitung) Supabase Inc., USA (Datenbank, Region: eu-central-1 Frankfurt) |
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist nach EU-Recht oder nationalem Recht dazu verpflichtet.
- Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.
- Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe § 5).
- Weitere Auftragsverarbeiter nur mit vorheriger Genehmigung einzusetzen und diesen dieselben Datenschutzpflichten aufzuerlegen (siehe § 6).
- Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen.
- Den Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen.
- Nach Beendigung der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben (nach Wahl des Verantwortlichen).
- Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen.
§ 4 Pflichten des Verantwortlichen
Der Verantwortliche verpflichtet sich:
- Rechtmäßigkeit der Datenverarbeitung: Sicherzustellen, dass eine gültige Rechtsgrundlage für alle Datenverarbeitungen vorliegt (z.B. Einwilligung der Newsletter-Abonnenten).
- Double Opt-In: Für Newsletter-Anmeldungen ausschließlich das von der Plattform bereitgestellte Double-Opt-In-Verfahren zu nutzen. Der Import von E-Mail-Adressen ohne nachweisbare Einwilligung ist untersagt.
- Datenschutzerklärung: Eine vollständige Datenschutzerklärung auf seiner Website bereitzustellen, die alle genutzten Dienste der Plattform korrekt beschreibt.
- Impressum: Ein vollständiges Impressum nach § 5 TMG bereitzustellen.
- Betroffenenrechte: Anfragen von Betroffenen eigenständig zu bearbeiten und den Auftragsverarbeiter nur bei technischer Unterstützung einzubeziehen.
- Keine rechtswidrigen Inhalte: Keine Spam-Mails, keine irreführenden Inhalte, keine Verletzung von Urheberrechten.
Wichtiger Hinweis zur Haftung:
Der Verantwortliche trägt die alleinige Verantwortung für die Rechtmäßigkeit der Datenerhebung (insbesondere Newsletter-Einwilligungen). Der Auftragsverarbeiter haftet nicht für Verstöße gegen das UWG, die DSGVO oder andere Vorschriften, die auf fehlerhafte oder fehlende Einwilligungen des Verantwortlichen zurückzuführen sind.
§ 5 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter hat folgende Maßnahmen implementiert:
5.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verschlüsselung aller Daten bei Übertragung (TLS 1.3)
- Verschlüsselung aller Daten bei Speicherung (AES-256)
- Zugriffskontrolle durch rollenbasierte Berechtigungen (RBAC)
- Row Level Security (RLS) auf Datenbankebene zur Tenant-Isolation
- Passwort-Hashing mit bcrypt (Cost Factor 10)
5.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Eingabekontrolle durch Audit-Logging aller Änderungen
- Weitergabekontrolle durch verschlüsselte API-Kommunikation
- Automatische Backups mit Point-in-Time-Recovery
5.3 Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Hosting auf Vercel Edge Network (99.99% SLA)
- Datenbank mit automatischem Failover (Supabase)
- Tägliche Backups mit 30 Tagen Aufbewahrung
5.4 Belastbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
- Auto-Scaling bei erhöhtem Traffic
- DDoS-Schutz durch Vercel/Cloudflare
- Rate Limiting auf API-Ebene
5.5 Datentrennung
- Strikte Tenant-Isolation durch RLS-Policies
- Separate Matomo-Sites pro Tenant
- Separate Newsletter-Absender-Domains pro Tenant (Subdomain-Isolation)
§ 6 Unterauftragsverarbeiter
Der Verantwortliche erteilt hiermit die allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter:
| Unterauftragnehmer | Sitz | Zweck | Garantie |
|---|---|---|---|
| Vercel Inc. | USA | Hosting, CDN | EU-US DPF |
| Supabase Inc. | USA (DB: Frankfurt) | Datenbank, Auth | SCCs + DB in EU |
| Amazon Web Services EMEA | Luxemburg | E-Mail-Versand (SES) | EU-Verarbeitung |
| Google Ireland Ltd. | Irland | KI-API (Gemini) | EU-Verarbeitung |
| Resend Inc. | USA | Transaktions-E-Mails | EU-US DPF |
| Stripe Inc. | USA (EU: Irland) | Zahlungsabwicklung | EU-Verarbeitung |
| Sentry (Functional Software) | USA | Error-Tracking | EU-US DPF |
Der Auftragsverarbeiter wird den Verantwortlichen über Änderungen bei Unterauftragsverarbeitern per E-Mail informieren. Der Verantwortliche hat 14 Tage Zeit, Einspruch zu erheben. Ohne Einspruch gilt die Änderung als genehmigt.
§ 7 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten informieren. Die Meldung enthält:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Zahl der betroffenen Personen
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen
§ 8 Löschung und Rückgabe von Daten
Nach Beendigung des Vertragsverhältnisses wird der Auftragsverarbeiter:
- Auf Wunsch des Verantwortlichen alle Daten in einem gängigen Format (JSON, CSV) exportieren und zur Verfügung stellen.
- Nach Ablauf einer Frist von 30 Tagen nach Vertragsende alle personenbezogenen Daten löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Die Löschung auf Verlangen schriftlich bestätigen.
Ausnahme: Rechnungsdaten werden gemäß § 147 AO für 10 Jahre aufbewahrt.
§ 9 Kontroll- und Auditrechte
Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen:
- Self-Service Audit: Zugang zu Audit-Logs, VVT-Export und Compliance-Dashboard im Admin-Bereich
- Dokumentation: Bereitstellung aktueller TOMs und Zertifizierungen auf Anfrage
- Vor-Ort-Prüfung: Nach vorheriger Ankündigung (min. 14 Tage) und auf eigene Kosten des Verantwortlichen
§ 10 Schlussbestimmungen
- Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
- Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
- Es gilt deutsches Recht. Gerichtsstand ist Berlin.
- Dieser AVV tritt mit Akzeptanz der AGB bzw. bei Aktivierung von Newsletter-Diensten automatisch in Kraft.
Kontakt Datenschutz
AnimaContent (Einzelunternehmen)
Inhaber Ervin Keljic
Mellinghofer Straße 163–165
45473 Mülheim an der Ruhr, Deutschland
E-Mail: datenschutz@animacontent.de
Web: https://animacontent.de