adaconda
← Zurück zur Startseite
Dies ist die Standardfassung des AVV, die IT Peter Fehringer e.U. mit allen adaconda-Kund:innen abschließt. Den unterzeichneten AVV bekommst du auf Anfrage als PDF an info@adaconda.app.
Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") regelt die Verarbeitung personenbezogener Daten durch IT Peter Fehringer e.U. (im Folgenden „Auftragsverarbeiter" bzw. „adaconda") im Auftrag des Kunden (im Folgenden „Verantwortlicher" bzw. „Kunde") im Rahmen der zwischen den Parteien abgeschlossenen Hauptdienstleistung gemäß AGB (siehe adaconda.app/terms). Er konkretisiert die Pflichten beider Parteien nach Art. 28 DSGVO.
(1) Gegenstand der Verarbeitung ist die KI-gestützte Erstellung von Social-Media-Content (Posts, Reels, Captions, Hashtags) im Auftrag des Verantwortlichen sowie die damit verbundene Kommunikation über die WhatsApp Business Cloud API.
(2) Die Verarbeitung dauert für die Laufzeit des Hauptvertrages (AGB §7) plus die im Anschluss gewährte Karenzzeit zur Datenrückgabe oder -löschung (max. 6 Monate).
Die personenbezogenen Daten werden für folgende Zwecke verarbeitet:
Folgende Datenkategorien werden verarbeitet:
adaconda verpflichtet sich:
(1) Der Verantwortliche willigt der Inanspruchnahme der unten gelisteten Sub-Auftragsverarbeiter durch adaconda zu. Diese Sub-Auftragsverarbeiter sind für die jeweils beschriebene Teil-Funktion der Hauptdienstleistung essentiell.
(2) adaconda hat mit jedem Sub-Auftragsverarbeiter einen Auftragsverarbeitungsvertrag iSd Art. 28 Abs. 4 DSGVO abgeschlossen oder dessen DSGVO-konforme Data-Processing-Addenda akzeptiert.
| Anbieter | Funktion | Sitz/Datenort | Rechtsgrundlage Drittland |
|---|---|---|---|
| Meta Platforms Ireland Ltd. | WhatsApp Business Cloud API | Datacenter EU; Konzernmutter USA | EU-US DPF + SCCs |
| Telnyx LLC | WhatsApp-Telefonnummer (PSTN) | USA; EU-Datacenter verfügbar | EU-US DPF + SCCs |
| Cloudflare, Inc. | R2 Object Storage (EU), Workers Static Assets, DNS | EU-Region (Storage); Edge global | EU-US DPF + SCCs |
| Mistral AI SAS | Sprachmodelle zur Textverarbeitung | Paris, Frankreich | EU — kein Drittlandsbezug |
| OpenAI, LLC | Sprachmodelle + Bildgenerierung | USA | EU-US DPF + SCCs · API-Zero-Retention-Plan |
| fal.ai, Inc. | Video-Rendering | USA | SCCs · vertraglich ausgeschlossenes Modell-Training |
| Google LLC | Places API New (Firmensuche) | USA | EU-US DPF + SCCs |
(3) Änderungen der Sub-Auftragsverarbeiter-Liste (Aufnahme oder Wechsel) werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten über WhatsApp oder E-Mail mitgeteilt. Widerspricht der Verantwortliche innerhalb von 14 Tagen schriftlich, kann er den Hauptvertrag aus wichtigem Grund kündigen (siehe AGB §7 Abs. 3).
Soweit eine Übermittlung personenbezogener Daten in Drittländer (außerhalb EU/EWR) erfolgt, geschieht dies auf einer der in Art. 44 ff. DSGVO genannten Grundlagen — namentlich auf Basis des EU-US Data Privacy Framework (Adäquanzbeschluss vom 10. Juli 2023) und/oder der EU-Standardvertragsklauseln (Modul 2) mit zusätzlichen technischen/organisatorischen Schutzmaßnahmen nach EDPB-Empfehlung 01/2020 (Verschlüsselung in Transit + at-Rest, Zugriffsbeschränkungen, Audit-Logging).
(1) Der Verantwortliche hat das Recht, sich vor Beginn der Verarbeitung und während der gesamten Vertragslaufzeit von der Einhaltung dieser AVV durch adaconda zu überzeugen. adaconda stellt auf Anfrage geeignete Nachweise zur Verfügung (TOM-Beschreibung, Sub-AVVe, Zertifikate falls vorhanden).
(2) Vor-Ort-Inspektionen können mit angemessener Vorankündigung (mindestens 30 Tage) und während üblicher Geschäftszeiten durchgeführt werden. Die Kosten trägt der Verantwortliche, es sei denn, die Inspektion ergibt einen schweren Verstoß gegen den AVV.
(3) Der Verantwortliche ist allein für die rechtmäßige Erhebung der personenbezogenen Daten verantwortlich, insbesondere für eine ausreichende Rechtsgrundlage und für die Information der betroffenen Personen.
adaconda informiert den Verantwortlichen unverzüglich, in der Regel spätestens 48 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten („Data Breach"). Die Mitteilung erfolgt an die in den Vertragsstammdaten hinterlegte Kontaktadresse und enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen.
(1) Nach Beendigung des Hauptvertrages werden personenbezogene Daten von adaconda gemäß Datenschutzerklärung §5 gelöscht. Auf Wunsch des Verantwortlichen werden die Daten vor Löschung in einem maschinenlesbaren Format zur Verfügung gestellt.
(2) Gesetzliche Aufbewahrungspflichten (z.B. §132 BAO, 7 Jahre für Rechnungsbezogenes) bleiben unberührt — entsprechende Daten werden ausschließlich für diesen gesetzlichen Zweck weiter verarbeitet.
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Innenverhältnis stellt der Verantwortliche adaconda von Schadensersatzansprüchen Dritter frei, soweit die Verletzung auf eine unrichtige Weisung oder eine fehlende Rechtsgrundlage auf Seiten des Verantwortlichen zurückzuführen ist.
(1) Dieser AVV gilt zusammen mit den AGB. Bei Widersprüchen zwischen AGB und AVV gehen die Regelungen dieses AVV vor — soweit es die Verarbeitung personenbezogener Daten betrifft.
(2) Es gilt österreichisches Recht unter Ausschluss der Verweisungsnormen des Internationalen Privatrechts.
(3) Gerichtsstand: das sachlich zuständige Gericht in 3300 Amstetten (Bezirksgericht Amstetten bis 15.000 EUR Streitwert, darüber Landesgericht St. Pölten).
Stand: 16.05.2026