Auftragsverarbeitungsvertrag (AVV)

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
Stand: April 2026

Präambel

Der folgende Vertrag zur Auftragsverarbeitung („AVV“) wird geschlossen zwischen:

Auftraggeber (Verantwortlicher):
dem Kunden der Groupies-Plattform, der sich unter www.getgroupies.app oder www.getgroupies.io registriert und die Dienste nutzt (nachfolgend „Auftraggeber“),

Auftragnehmer (Auftragsverarbeiter):
Hoever & Kirchhartz – Groupies GbR
Thomas Kirchhartz
Auf dem Rott 13
50259 Pulheim
E-Mail: datenschutz@getgroupies.app
(nachfolgend „Auftragnehmer“)

Der AVV ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und die Datenschutzbestimmungen der Groupies-Plattform. Er tritt mit Annahme der AGB durch den Auftraggeber in Kraft.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Groupies-Plattform (SaaS). Die Verarbeitung umfasst insbesondere:

  • Speicherung und Verwaltung von Nutzerkontodaten
  • Speicherung, Verarbeitung und Auslieferung von nutzergenerierten Inhalten (Videos, Bilder, Texte)
  • Rendering und Zusammenführung von Videos
  • Versand transaktionaler E-Mails (Anmelde-Links, Erinnerungen, Benachrichtigungen)
  • Zahlungsabwicklung über eingebundene Zahlungsdienstleister

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen Auftraggeber und Auftragnehmer. Sie endet mit Löschung des Nutzerkontos oder Kündigung des Vertrags, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung dient der Erbringung der Groupies-Dienstleistungen gemäß den AGB, insbesondere:

  • Bereitstellung und Betrieb der Webanwendung
  • Authentifizierung und Kontoverwaltung
  • Speicherung, Bearbeitung und Rendering von Videoinhalten
  • Versand von E-Mails im Auftrag des Auftraggebers (z. B. Einladungslinks an Teilnehmer)
  • Abwicklung von Zahlungsvorgängen

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Kontaktdaten (E-Mail-Adresse)
  • Nutzungsdaten (Anmeldezeitpunkte, Projektzuordnungen, Geräte- und Browserinformationen)
  • Inhaltsdaten (Videos, Bilder, Texte, die vom Auftraggeber oder dessen eingeladenen Teilnehmern hochgeladen werden)
  • Zahlungsdaten (werden an Zahlungsdienstleister weitergeleitet, nicht beim Auftragnehmer gespeichert)
  • Kommunikationsdaten (E-Mail-Metadaten, Zustellungsinformationen)

§ 4 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind:

  • Kunden (Auftraggeber) der Groupies-Plattform
  • Teilnehmer, die vom Auftraggeber zur Mitwirkung an einem Filmprojekt eingeladen werden
  • Empfänger von E-Mails, die über die Plattform versendet werden

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland – es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(3) Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten (siehe § 7).

(4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Anfragen betroffener Personen auf Ausübung der in Kapitel III DSGVO genannten Rechte (Art. 28 Abs. 3 lit. e DSGVO).

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(6) Der Auftragnehmer löscht nach Abschluss der Auftragsverarbeitung alle personenbezogenen Daten nach Wahl des Auftraggebers entweder oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).

(7) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen einschließlich Inspektionen bei, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO).

§ 6 Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen nach der DSGVO verantwortlich.

(2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in Textform. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

(3) Der Auftraggeber stellt sicher, dass Inhalte, die er über die Plattform verarbeiten lässt, rechtmäßig sind und die Rechte Dritter nicht verletzen.

§ 7 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragnehmer setzt folgende Maßnahmen zum Schutz personenbezogener Daten ein:

Vertraulichkeit

  • SSL/TLS-Verschlüsselung sämtlicher Datenübertragungen
  • Zugriffskontrolle über rollenbasierte Berechtigungen
  • Authentifizierung über zeitlich befristete Magic Links
  • Verschlüsselte Speicherung sensibler Konfigurationsdaten

Integrität

  • Schutz vor unbefugter Veränderung durch versionierte Deployments
  • Validierung von Eingabedaten auf Server- und Client-Seite
  • Protokollierung von Administrationszugriffen

Verfügbarkeit und Belastbarkeit

  • Hosting auf hochverfügbarer Cloud-Infrastruktur (Vercel, AWS)
  • Automatische Skalierung bei Lastspitzen
  • Regelmäßige Backups der Datenbank (MongoDB Atlas)
  • Geographische Redundanz der Infrastruktur

Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
  • Monitoring der Infrastruktur und Benachrichtigung bei Unregelmäßigkeiten

§ 8 Unterauftragsverarbeitung

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragnehmer) gemäß Art. 28 Abs. 2 DSGVO hinzuzuziehen.

(2) Zum Zeitpunkt des Abschlusses dieses AVV setzt der Auftragnehmer folgende Unterauftragnehmer ein:

  • Vercel Inc. – Sitz: USA – Leistung: Website-Hosting, Blob Storage – Drittlandtransfer: SCC, EU-US DPF
  • Amazon Web Services (AWS) – Sitz: USA (Server: Frankfurt) – Leistung: S3, CloudFront, SES, Lambda – Drittlandtransfer: SCC, EU-US DPF
  • MongoDB, Inc. – Sitz: USA – Leistung: Datenbank (MongoDB Atlas) – Drittlandtransfer: SCC, EU-US DPF
  • Stripe Payments Europe, Ltd. – Sitz: Irland – Leistung: Zahlungsabwicklung – Drittlandtransfer: SCC (bei Datenübermittlung in USA)
  • Google Ireland Limited – Sitz: Irland – Leistung: Tag Management (GTM) – Drittlandtransfer: SCC, EU-US DPF
  • Meta Platforms Ireland Limited – Sitz: Irland – Leistung: Conversion Tracking (Meta Pixel) – Drittlandtransfer: SCC, EU-US DPF
  • Silktide Ltd. – Sitz: Vereinigtes Königreich – Leistung: Cookie Consent Management – Drittlandtransfer: SCC (UK Adequacy)

(3) Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen solche Änderungen innerhalb von 14 Tagen nach Mitteilung Einspruch erheben. Der Einspruch muss begründet sein. Erfolgt kein fristgerechter Einspruch, gilt die Zustimmung als erteilt.

(4) Der Auftragnehmer stellt sicher, dass mit jedem Unterauftragnehmer ein Vertrag geschlossen wird, der mindestens die gleichen Datenschutzpflichten enthält wie dieser AVV (Art. 28 Abs. 4 DSGVO).

§ 9 Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Meldepflichten gemäß Art. 33 und 34 DSGVO.

(2) Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme, jede Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält mindestens:

  • eine Beschreibung der Art der Verletzung
  • die Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
  • eine Beschreibung der wahrscheinlichen Folgen
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

§ 10 Drittlandtransfer

(1) Eine Übermittlung personenbezogener Daten in ein Drittland erfolgt nur unter Einhaltung der Voraussetzungen der Art. 44 bis 49 DSGVO.

(2) Soweit Unterauftragnehmer mit Sitz in den USA eingesetzt werden, stützt sich der Transfer auf den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) und/oder auf Standardvertragsklauseln (SCC) gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission.

§ 11 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen der AGB.

§ 12 Laufzeit und Beendigung

(1) Dieser AVV tritt mit Annahme der AGB in Kraft und gilt für die Dauer des Nutzungsvertrags.

(2) Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Wunsch des Auftraggebers wird eine Bestätigung der Löschung erteilt.

(3) Das Recht zur außerordentlichen Kündigung bei schwerwiegenden Verstößen gegen Datenschutzbestimmungen bleibt unberührt.

§ 13 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Köln.

Stand: April 2026