Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von Reflytic gemäß Art. 28 DSGVO. **Vertragsparteien:** - **Verantwortlicher (Auftraggeber):** Sie als Moderator oder Promoter - **Auftragsverarbeiter (Auftragnehmer):** [Ihr Firmenname], Betreiber von Reflytic **Gegenstand:** Bereitstellung der Reflytic-Plattform für Revenue-Share-Management und Analytics-Auswertung

**1.1 Gegenstand** Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen (Nutzungsbedingungen). **1.2 Dauer** Die Laufzeit dieses AVV entspricht der Dauer des Nutzungsverhältnisses. Der AVV endet automatisch mit Beendigung der Nutzung oder Löschung des Kontos. **1.3 Art der Verarbeitung** - Speicherung in verschlüsselten Datenbanken - Automatisierte Verarbeitung durch Celery-Tasks - API-Aufrufe zu Google Analytics - Aggregation und Visualisierung von Daten - Kommunikation via In-App-Chat

**2.1 Kategorien betroffener Personen** - Moderatoren (Google Analytics Property-Inhaber) - Promoter (Influencer) - Endnutzer (indirekt über Google Analytics) **2.2 Kategorien personenbezogener Daten** - Stammdaten: Name, E-Mail, Benutzername - Authentifizierung: Passwort-Hashes, OAuth-Tokens - Nutzungsdaten: Login-Zeiten, IP-Adressen, Geräteinfo - Kampagnendaten: Analytics-Metriken, Umsatzdaten - Kommunikationsdaten: Chat-Nachrichten (verschlüsselt) - Zahlungsdaten: Abonnement-Status, Transaktionshistorie

**3.1 Weisungsgebundenheit** Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers (z.B. durch Nutzung der Plattform-Funktionen). **3.2 Vertraulichkeit** Alle zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet und wurden entsprechend geschult. **3.3 Technische und organisatorische Maßnahmen (TOMs)** Der Auftragnehmer gewährleistet: - Verschlüsselung: Fernet (AES-256) für Daten at rest, TLS 1.3 in transit - Zugriffskontrolle: Rollenbasierte Berechtigungen, 2FA-Option - Datensicherung: Tägliche verschlüsselte Backups - Incident Response: Benachrichtigung binnen 72h bei Datenpannen - Logging: Audit-Logs für alle kritischen Operationen **3.4 Unterstützung des Verantwortlichen** Der Auftragnehmer unterstützt den Auftraggeber bei: - Auskunftsanfragen betroffener Personen - Datenlöschungen und -berichtigungen - Datenportabilität (Export-Funktionen) - Datenschutz-Folgenabschätzungen (auf Anfrage)

**4.1 Genehmigung** Der Auftraggeber stimmt der Beauftragung folgender Subunternehmer zu: **Hosting und Infrastruktur:** - **Google Cloud Platform** (Google Ireland Limited, Irland) - Zweck: Analytics API, OAuth-Dienste - Garantien: EU-Standardvertragsklauseln - **Hetzner Online GmbH** (Deutschland) [ODER Ihr Anbieter] - Zweck: Server-Hosting - Garantien: DSGVO-konform, EU-Standort **Zahlungsabwicklung:** - **Stripe Inc.** (USA) - Zweck: Zahlungsverarbeitung - Garantien: PCI DSS, EU-Standardvertragsklauseln **Caching und Queues:** - **Redis Labs** (EU-Region) - Zweck: Performance-Optimierung - Garantien: Verschlüsselte Verbindungen **4.2 Benachrichtigung bei Änderungen** Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor Beauftragung neuer Subunternehmer. Widerspruch führt zur Beendigung des Vertrags ohne Kündigungsfrist.

**5.1 Weisungsrecht** Der Auftraggeber kann jederzeit dokumentierte Weisungen zur Datenverarbeitung erteilen (z.B. Löschung, Exportanforderung). **5.2 Kontrollrechte** Der Auftraggeber kann Audits durchführen oder durch Dritte durchführen lassen (nach Voranmeldung, max. 1x pro Jahr). **5.3 Informationspflichten** Der Auftraggeber muss den Auftragnehmer informieren über: - Einschränkungen der Verarbeitungserlaubnis - Fehler oder Unregelmäßigkeiten bei der Verarbeitung - Kontrollmaßnahmen von Aufsichtsbehörden

**6.1 Meldepflicht** Der Auftragnehmer meldet Datenschutzverletzungen unverzüglich (binnen 72h) an: - E-Mail: dpo@reflytic.com - Notfall-Hotline: [Telefonnummer] **6.2 Dokumentation** Jede Datenschutzverletzung wird dokumentiert mit: - Art der Verletzung - Betroffene Datenkategorien und Personen - Maßnahmen zur Schadensbegrenzung - Empfehlungen zur Vermeidung künftiger Vorfälle **6.3 Zusammenarbeit** Der Auftragnehmer unterstützt den Auftraggeber bei der Meldung an Aufsichtsbehörden und betroffene Personen.

**7.1 Standort der Verarbeitung** Primärer Verarbeitungsstandort: Deutschland/EU **7.2 Drittlandtransfers** Bei Transfers in Drittländer (USA) gelten: - EU-Standardvertragsklauseln - Zusätzliche Garantien gemäß Schrems-II-Urteil - Auftraggeber wird über alle Transfers informiert **7.3 Zugriff aus Drittländern** Kein routinemäßiger Zugriff von außerhalb der EU. Bei behördlichen Anfragen erfolgt Benachrichtigung des Auftraggebers (sofern rechtlich zulässig).

**8.1 Nach Vertragsende** Der Auftragnehmer löscht alle personenbezogenen Daten binnen 30 Tagen nach Vertragsende, es sei denn: - Gesetzliche Aufbewahrungspflichten bestehen (z.B. Steuerrecht: 10 Jahre) - Auftraggeber verlangt Rückgabe (Export als JSON/CSV) **8.2 Löschbestätigung** Auf Anfrage stellt der Auftragnehmer eine Löschbestätigung aus. **8.3 Backups** Daten in Backups werden nach 90 Tagen automatisch gelöscht (normale Backup-Rotation).

**9.1 Haftung des Auftragnehmers** Der Auftragnehmer haftet für Schäden, die durch DSGVO-Verstöße verursacht werden, gemäß Art. 82 DSGVO. **9.2 Haftungsbeschränkung** Die Haftung ist begrenzt auf: - Vorsatz und grobe Fahrlässigkeit: unbegrenzt - Leichte Fahrlässigkeit: Höhe der im letzten Jahr gezahlten Gebühren **9.3 Versicherung** Der Auftragnehmer unterhält eine Cyber-Versicherung mit Deckungssumme [X EUR].

**10.1 Vorrang** Dieser AVV geht den Nutzungsbedingungen in Datenschutzfragen vor. **10.2 Änderungen** Änderungen werden 30 Tage im Voraus angekündigt. Widerspruch führt zur Beendigung. **10.3 Salvatorische Klausel** Unwirksamkeit einzelner Bestimmungen berührt die Gültigkeit des übrigen AVV nicht. **10.4 Anwendbares Recht** Deutsches Recht unter Beachtung der DSGVO.