Auftragsverarbeitungsvertrag (AVV)
Stand: 4. Juli 2026
Melde dich an, um den AVV vorbefüllt mit deinen Kontodaten als PDF herunterzuladen. Der vollständige Vertragstext steht hier auch ohne Anmeldung.
Vertrag über die Auftragsverarbeitung nach Art. 28 DSGVO
zwischen dem Verantwortlichen (Auftraggeber)
Firma:
Ansprechpartner:
E-Mail:
Anschrift:
und dem Auftragsverarbeiter (Auftragnehmer)
ZIGLA, Inhaber: Tim Ziegler
Holzstraße 14, 33034 Brakel, Deutschland
E-Mail: info@zigla.de
§ 1 Gegenstand und Dauer
Der Auftragnehmer betreibt die SaaS-Anwendung „Soptimize Ads" (KI-gestütztes Dashboard und Beratungswerkzeug für Google Ads). Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers im Rahmen der Nutzung dieser Anwendung. Die Laufzeit entspricht der Laufzeit des Nutzungsvertrags; der Vertrag endet mit dessen Beendigung.
§ 2 Art und Zweck der Verarbeitung
Abruf, Anzeige, Auswertung und — nach Freigabe durch den Auftraggeber — Änderung von Google-Ads- und Merchant-Center-Daten; KI-gestützte Analyse und Beratung; Erstellung von Berichten und Werbemitteln; Speicherung der zugehörigen Konto- und Nutzungsdaten.
§ 3 Datenkategorien und betroffene Personen
- Datenkategorien: Stammdaten der Nutzer (Name, E-Mail, Profilbild), Authentifizierungsdaten (verschlüsselte OAuth-Token, Passwort-Hashes), Google-Ads-Konto- und Kampagnendaten, Chat-Inhalte inkl. hochgeladener Bilder, Berichts- und Protokolldaten.
- Betroffene Personen: Mitarbeiter und Beauftragte des Auftraggebers; Personen, deren Daten in den verbundenen Google-Konten enthalten sind.
§ 4 Pflichten des Auftragnehmers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (die Nutzung der Anwendungsfunktionen gilt als Weisung), verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit und trifft die technischen und organisatorischen Maßnahmen nach Anlage 1 (Art. 32 DSGVO). Er informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.
§ 5 Unterauftragsverhältnisse
Der Auftraggeber genehmigt die in Anlage 2 aufgeführten Unterauftragsverarbeiter. Der Auftragnehmer informiert den Auftraggeber vorab über beabsichtigte Änderungen (Hinzufügen oder Ersetzen); der Auftraggeber kann aus wichtigem Grund widersprechen. Mit jedem Unterauftragsverarbeiter bestehen Verträge, die die Anforderungen des Art. 28 DSGVO abbilden; bei Drittlandtransfers gelten die in Anlage 2 genannten Garantien (Art. 44 ff. DSGVO).
§ 6 Unterstützungspflichten
Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung), soweit ihm dies möglich ist.
§ 7 Meldung von Verletzungen
Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und stellt die für die Meldung nach Art. 33 DSGVO erforderlichen Informationen bereit.
§ 8 Löschung und Rückgabe
Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch stellt er dem Auftraggeber die Daten zuvor in einem gängigen Format bereit.
§ 9 Nachweise und Kontrollen
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung dieses Vertrags zur Verfügung und ermöglicht — nach angemessener Ankündigung — Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).
§ 10 Haftung und Schlussbestimmungen
Für die Haftung gilt Art. 82 DSGVO. Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.
Datum: — Unterschriften: Auftraggeber / Auftragnehmer
Anlage 1 — Technische und organisatorische Maßnahmen (Auszug)
- Verschlüsselte Speicherung von OAuth-Refresh-Token (AES-256-GCM)
- Passwörter ausschließlich als Hash (bcrypt)
- Transportverschlüsselung (TLS) für alle Verbindungen; Datenbank-TLS mit zertifikatsgeprüfter CA
- Mandantentrennung auf Datenbankebene: Row-Level-Security und mandantenbezogene Zugriffsprüfung in jeder Abfrage
- Rollenmodell (Owner, Admin, Editor, Viewer) mit abgestuften Rechten; Schreibaktionen nur nach expliziter Freigabe
- Protokollierung ausgeführter Konto-Aktionen (Audit-Log)
- Private Storage-Buckets, Dateipfade mandantenbezogen
Anlage 2 — Genehmigte Unterauftragsverarbeiter
| Unternehmen | Dienst / Zweck | Ort | Transfer-Garantie |
|---|---|---|---|
| Google Ireland Limited / Google LLC | Google OAuth, Google Ads API, Merchant Center API — Anmeldung per Google-Konto; Lesen und — nach Freigabe — Ändern von Google-Ads-Kampagnen; Merchant-Center-Status | EU / USA | EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln (SCC) |
| Anthropic, PBC | Claude (KI-Modelle) inkl. Web-Suche — KI-Berater-Chat, Konto-Analysen, Berichte, Bild-Verständnis | USA | EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln (SCC) |
| Supabase, Inc. | Postgres-Datenbank + Datei-Storage — Speicherung aller Kontodaten (mandantengetrennt), Bild-Uploads, Report-PDFs | EU (Projektregion); Anbieter-Support ggf. Drittland | EU-Standardvertragsklauseln (SCC) im Anbieter-DPA |
| Vercel Inc. | Hosting & Auslieferung der Anwendung — Betrieb der App, Server-Logs | EU-Edge / USA | EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln (SCC) |
| Higgsfield AI, Inc. | KI-Bildgenerierung (Text zu Bild) — Erstellen von Anzeigen-Bildern auf Wunsch des Nutzers | USA | EU-Standardvertragsklauseln (SCC) gemäß Anbieter-Bedingungen |
| Features and Labels, Inc. (fal.ai) | KI-Bildbearbeitung (Bild zu Bild) — Produkttreues Umgestalten hochgeladener Produktbilder | USA | EU-Standardvertragsklauseln (SCC) gemäß Anbieter-Bedingungen |