adaconda adaconda ← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO

Dies ist die Standardfassung des AVV, die IT Peter Fehringer e.U. mit allen adaconda-Kund:innen abschließt. Den unterzeichneten AVV bekommst du auf Anfrage als PDF an info@adaconda.app.

Präambel

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") regelt die Verarbeitung personenbezogener Daten durch IT Peter Fehringer e.U. (im Folgenden „Auftragsverarbeiter" bzw. „adaconda") im Auftrag des Kunden (im Folgenden „Verantwortlicher" bzw. „Kunde") im Rahmen der zwischen den Parteien abgeschlossenen Hauptdienstleistung gemäß AGB (siehe adaconda.app/terms). Er konkretisiert die Pflichten beider Parteien nach Art. 28 DSGVO.

§1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung ist die KI-gestützte Erstellung von Social-Media-Content (Posts, Reels, Captions, Hashtags) im Auftrag des Verantwortlichen sowie die damit verbundene Kommunikation über die WhatsApp Business Cloud API.

(2) Die Verarbeitung dauert für die Laufzeit des Hauptvertrages (AGB §7) plus die im Anschluss gewährte Karenzzeit zur Datenrückgabe oder -löschung (max. 6 Monate).

§2 Art und Zweck der Verarbeitung

Die personenbezogenen Daten werden für folgende Zwecke verarbeitet:

  • Empfang und Beantwortung von WhatsApp-Nachrichten des Verantwortlichen und der mit ihm in Kontakt stehenden Personen
  • Aufbau und Pflege eines Markenprofils des Verantwortlichen anhand öffentlich zugänglicher Quellen und manuell übermittelter Materialien
  • KI-gestützte Generierung von Bildern, Videos und Texten
  • Bereitstellung der generierten Assets in einem Cloud-Speicher zur Auslieferung über WhatsApp
  • Kontingent- und Nutzungsverwaltung
  • Qualitätssicherung und Fehlerdiagnose

§3 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

  • Kontaktdaten: Telefonnummer (WhatsApp-Identifier), E-Mail-Adresse, Name
  • Markenprofil-Daten: Firmenname, Branche, Standort, Slogan, Logo, Beispielfotos, Tonalität, Markenfarben, Schriftart
  • Kommunikationsinhalte: Text, Sprachnotizen, Bilder, Videos der zwischen Kunde und Auftragsverarbeiter ausgetauschten WhatsApp-Nachrichten
  • Generierte Inhalte: erzeugte Posts, Reels, Captions, Hashtags mit zugehörigen Metadaten
  • Nutzungsdaten: Zeitstempel, Kontingent-Status, Lieferstatus der Nachrichten
  • Technische Daten: IP-Adressen, User-Agent (Landing-Page-Besuch)

§4 Kategorien betroffener Personen

  • Kund:innen des Verantwortlichen (Empfänger:innen der finalen Social-Media-Posts auf Instagram/anderen Plattformen) — soweit deren Bilder oder Texte verarbeitet werden
  • Beschäftigte des Verantwortlichen, sofern deren Bilder oder Daten im Markenprofil enthalten sind
  • Geschäftspartner und Lieferanten des Verantwortlichen, soweit zur Vertragsdurchführung erforderlich
  • Der Verantwortliche selbst bzw. seine bevollmächtigten Mitarbeiter:innen (Kontaktperson)

§5 Pflichten des Auftragsverarbeiters

adaconda verpflichtet sich:

  1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Der zugrundeliegende Hauptvertrag (AGB + diese AVV) gilt als allgemeine Weisungserteilung;
  2. Sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. Geeignete technische und organisatorische Maßnahmen iSd Art. 32 DSGVO zu treffen (siehe Anlage 1);
  4. Die in §6 geregelten Bedingungen für die Inanspruchnahme eines weiteren Auftragsverarbeiters einzuhalten;
  5. Den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32-36 DSGVO zu unterstützen (Sicherheitsmaßnahmen, Meldungen von Datenpannen, Datenschutz-Folgenabschätzung);
  6. Bei Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) den Verantwortlichen zu unterstützen, soweit dies technisch möglich ist;
  7. Nach Abschluss der Verarbeitungstätigkeiten — auf Wunsch des Verantwortlichen — alle personenbezogenen Daten entweder zu löschen oder zurückzugeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen;
  8. Dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind;
  9. Den Verantwortlichen unverzüglich zu informieren, falls eine Weisung des Verantwortlichen nach Meinung von adaconda gegen DSGVO oder andere Datenschutzvorschriften verstößt.

§6 Sub-Auftragsverarbeiter

(1) Der Verantwortliche willigt der Inanspruchnahme der unten gelisteten Sub-Auftragsverarbeiter durch adaconda zu. Diese Sub-Auftragsverarbeiter sind für die jeweils beschriebene Teil-Funktion der Hauptdienstleistung essentiell.

(2) adaconda hat mit jedem Sub-Auftragsverarbeiter einen Auftragsverarbeitungsvertrag iSd Art. 28 Abs. 4 DSGVO abgeschlossen oder dessen DSGVO-konforme Data-Processing-Addenda akzeptiert.

Liste der aktuellen Sub-Auftragsverarbeiter

Anbieter Funktion Sitz/Datenort Rechtsgrundlage Drittland
Meta Platforms Ireland Ltd. WhatsApp Business Cloud API Datacenter EU; Konzernmutter USA EU-US DPF + SCCs
Telnyx LLC WhatsApp-Telefonnummer (PSTN) USA; EU-Datacenter verfügbar EU-US DPF + SCCs
Cloudflare, Inc. R2 Object Storage (EU), Workers Static Assets, DNS EU-Region (Storage); Edge global EU-US DPF + SCCs
Mistral AI SAS Sprachmodelle zur Textverarbeitung Paris, Frankreich EU — kein Drittlandsbezug
OpenAI, LLC Sprachmodelle + Bildgenerierung USA EU-US DPF + SCCs · API-Zero-Retention-Plan
fal.ai, Inc. Video-Rendering USA SCCs · vertraglich ausgeschlossenes Modell-Training
Google LLC Places API New (Firmensuche) USA EU-US DPF + SCCs

(3) Änderungen der Sub-Auftragsverarbeiter-Liste (Aufnahme oder Wechsel) werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten über WhatsApp oder E-Mail mitgeteilt. Widerspricht der Verantwortliche innerhalb von 14 Tagen schriftlich, kann er den Hauptvertrag aus wichtigem Grund kündigen (siehe AGB §7 Abs. 3).

§7 Drittlandsübermittlung

Soweit eine Übermittlung personenbezogener Daten in Drittländer (außerhalb EU/EWR) erfolgt, geschieht dies auf einer der in Art. 44 ff. DSGVO genannten Grundlagen — namentlich auf Basis des EU-US Data Privacy Framework (Adäquanzbeschluss vom 10. Juli 2023) und/oder der EU-Standardvertragsklauseln (Modul 2) mit zusätzlichen technischen/organisatorischen Schutzmaßnahmen nach EDPB-Empfehlung 01/2020 (Verschlüsselung in Transit + at-Rest, Zugriffsbeschränkungen, Audit-Logging).

§8 Rechte und Pflichten des Verantwortlichen

(1) Der Verantwortliche hat das Recht, sich vor Beginn der Verarbeitung und während der gesamten Vertragslaufzeit von der Einhaltung dieser AVV durch adaconda zu überzeugen. adaconda stellt auf Anfrage geeignete Nachweise zur Verfügung (TOM-Beschreibung, Sub-AVVe, Zertifikate falls vorhanden).

(2) Vor-Ort-Inspektionen können mit angemessener Vorankündigung (mindestens 30 Tage) und während üblicher Geschäftszeiten durchgeführt werden. Die Kosten trägt der Verantwortliche, es sei denn, die Inspektion ergibt einen schweren Verstoß gegen den AVV.

(3) Der Verantwortliche ist allein für die rechtmäßige Erhebung der personenbezogenen Daten verantwortlich, insbesondere für eine ausreichende Rechtsgrundlage und für die Information der betroffenen Personen.

§9 Mitteilung von Datenschutzverletzungen

adaconda informiert den Verantwortlichen unverzüglich, in der Regel spätestens 48 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten („Data Breach"). Die Mitteilung erfolgt an die in den Vertragsstammdaten hinterlegte Kontaktadresse und enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen.

§10 Beendigung des Vertrages

(1) Nach Beendigung des Hauptvertrages werden personenbezogene Daten von adaconda gemäß Datenschutzerklärung §5 gelöscht. Auf Wunsch des Verantwortlichen werden die Daten vor Löschung in einem maschinenlesbaren Format zur Verfügung gestellt.

(2) Gesetzliche Aufbewahrungspflichten (z.B. §132 BAO, 7 Jahre für Rechnungsbezogenes) bleiben unberührt — entsprechende Daten werden ausschließlich für diesen gesetzlichen Zweck weiter verarbeitet.

§11 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Innenverhältnis stellt der Verantwortliche adaconda von Schadensersatzansprüchen Dritter frei, soweit die Verletzung auf eine unrichtige Weisung oder eine fehlende Rechtsgrundlage auf Seiten des Verantwortlichen zurückzuführen ist.

§12 Schlussbestimmungen

(1) Dieser AVV gilt zusammen mit den AGB. Bei Widersprüchen zwischen AGB und AVV gehen die Regelungen dieses AVV vor — soweit es die Verarbeitung personenbezogener Daten betrifft.

(2) Es gilt österreichisches Recht unter Ausschluss der Verweisungsnormen des Internationalen Privatrechts.

(3) Gerichtsstand: das sachlich zuständige Gericht in 3300 Amstetten (Bezirksgericht Amstetten bis 15.000 EUR Streitwert, darüber Landesgericht St. Pölten).


Anlage 1 — Technische und organisatorische Maßnahmen (TOM)

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: keine eigene physische Infrastruktur; sämtliche Verarbeitung läuft in zertifizierten Cloud-Rechenzentren (Cloudflare, AWS-betriebene Provider) mit 24/7-Zutrittskontrolle, biometrischen Zugangssystemen und Video-Überwachung.
  • Zugangskontrolle: Multi-Faktor-Authentifizierung für alle Administratoren-Accounts; SSH-Key-only-Login auf produktiven Servern; IP-Allowlisting für Admin-Endpunkte.
  • Zugriffskontrolle: rollenbasiertes Berechtigungssystem; Principle of Least Privilege; Audit-Logging aller Zugriffe auf Kundendaten.
  • Trennungskontrolle: getrennte Datenbanken und Speicher-Buckets für Entwicklungs-, Staging- und Produktivumgebung.

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: TLS 1.3 für alle Verbindungen; HMAC-SHA256-Signaturvalidierung für eingehende Meta-Webhooks.
  • Eingabekontrolle: jede Datenänderung wird mit Zeitstempel, Benutzer-Identifier und Diff geloggt; Append-Only-Log auf Application-Ebene.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verfügbarkeitskontrolle: tägliche Backups der Datenbank, geo-redundante Speicherung in Cloudflare R2.
  • Wiederherstellbarkeit: Recovery-Time-Objective (RTO) ≤ 24 h; Recovery-Point-Objective (RPO) ≤ 24 h.

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Datenschutz-Management: jährliche Überprüfung und Aktualisierung des TOM-Katalogs; Schulung aller Mitarbeiter:innen mindestens einmal jährlich.
  • Incident-Response-Management: dokumentierter Incident-Response-Plan mit definierten Eskalationsstufen und Meldewegen.
  • Auftragskontrolle: regelmäßige Überprüfung der Sub-Auftragsverarbeiter (DPF/SCCs-Status, Zertifikate, Compliance-Audits).

Stand: 16.05.2026

Impressum Datenschutz AGB AV-Vertrag © 2026 adaconda