Auftragsverarbeitungsvertrag (AVV)

Stand: 4. Juli 2026

Melde dich an, um den AVV vorbefüllt mit deinen Kontodaten als PDF herunterzuladen. Der vollständige Vertragstext steht hier auch ohne Anmeldung.

Vertrag über die Auftragsverarbeitung nach Art. 28 DSGVO

zwischen dem Verantwortlichen (Auftraggeber)

Firma:
Ansprechpartner:
E-Mail:
Anschrift:

und dem Auftragsverarbeiter (Auftragnehmer)

ZIGLA, Inhaber: Tim Ziegler
Holzstraße 14, 33034 Brakel, Deutschland
E-Mail: info@zigla.de

§ 1 Gegenstand und Dauer

Der Auftragnehmer betreibt die SaaS-Anwendung „Soptimize Ads" (KI-gestütztes Dashboard und Beratungswerkzeug für Google Ads). Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers im Rahmen der Nutzung dieser Anwendung. Die Laufzeit entspricht der Laufzeit des Nutzungsvertrags; der Vertrag endet mit dessen Beendigung.

§ 2 Art und Zweck der Verarbeitung

Abruf, Anzeige, Auswertung und — nach Freigabe durch den Auftraggeber — Änderung von Google-Ads- und Merchant-Center-Daten; KI-gestützte Analyse und Beratung; Erstellung von Berichten und Werbemitteln; Speicherung der zugehörigen Konto- und Nutzungsdaten.

§ 3 Datenkategorien und betroffene Personen

  • Datenkategorien: Stammdaten der Nutzer (Name, E-Mail, Profilbild), Authentifizierungsdaten (verschlüsselte OAuth-Token, Passwort-Hashes), Google-Ads-Konto- und Kampagnendaten, Chat-Inhalte inkl. hochgeladener Bilder, Berichts- und Protokolldaten.
  • Betroffene Personen: Mitarbeiter und Beauftragte des Auftraggebers; Personen, deren Daten in den verbundenen Google-Konten enthalten sind.

§ 4 Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (die Nutzung der Anwendungsfunktionen gilt als Weisung), verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit und trifft die technischen und organisatorischen Maßnahmen nach Anlage 1 (Art. 32 DSGVO). Er informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

§ 5 Unterauftragsverhältnisse

Der Auftraggeber genehmigt die in Anlage 2 aufgeführten Unterauftragsverarbeiter. Der Auftragnehmer informiert den Auftraggeber vorab über beabsichtigte Änderungen (Hinzufügen oder Ersetzen); der Auftraggeber kann aus wichtigem Grund widersprechen. Mit jedem Unterauftragsverarbeiter bestehen Verträge, die die Anforderungen des Art. 28 DSGVO abbilden; bei Drittlandtransfers gelten die in Anlage 2 genannten Garantien (Art. 44 ff. DSGVO).

§ 6 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung), soweit ihm dies möglich ist.

§ 7 Meldung von Verletzungen

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und stellt die für die Meldung nach Art. 33 DSGVO erforderlichen Informationen bereit.

§ 8 Löschung und Rückgabe

Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch stellt er dem Auftraggeber die Daten zuvor in einem gängigen Format bereit.

§ 9 Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung dieses Vertrags zur Verfügung und ermöglicht — nach angemessener Ankündigung — Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).

§ 10 Haftung und Schlussbestimmungen

Für die Haftung gilt Art. 82 DSGVO. Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.

Datum: — Unterschriften: Auftraggeber / Auftragnehmer

Anlage 1 — Technische und organisatorische Maßnahmen (Auszug)

  • Verschlüsselte Speicherung von OAuth-Refresh-Token (AES-256-GCM)
  • Passwörter ausschließlich als Hash (bcrypt)
  • Transportverschlüsselung (TLS) für alle Verbindungen; Datenbank-TLS mit zertifikatsgeprüfter CA
  • Mandantentrennung auf Datenbankebene: Row-Level-Security und mandantenbezogene Zugriffsprüfung in jeder Abfrage
  • Rollenmodell (Owner, Admin, Editor, Viewer) mit abgestuften Rechten; Schreibaktionen nur nach expliziter Freigabe
  • Protokollierung ausgeführter Konto-Aktionen (Audit-Log)
  • Private Storage-Buckets, Dateipfade mandantenbezogen

Anlage 2 — Genehmigte Unterauftragsverarbeiter

UnternehmenDienst / ZweckOrtTransfer-Garantie
Google Ireland Limited / Google LLCGoogle OAuth, Google Ads API, Merchant Center APIAnmeldung per Google-Konto; Lesen und — nach Freigabe — Ändern von Google-Ads-Kampagnen; Merchant-Center-StatusEU / USAEU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln (SCC)
Anthropic, PBCClaude (KI-Modelle) inkl. Web-SucheKI-Berater-Chat, Konto-Analysen, Berichte, Bild-VerständnisUSAEU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln (SCC)
Supabase, Inc.Postgres-Datenbank + Datei-StorageSpeicherung aller Kontodaten (mandantengetrennt), Bild-Uploads, Report-PDFsEU (Projektregion); Anbieter-Support ggf. DrittlandEU-Standardvertragsklauseln (SCC) im Anbieter-DPA
Vercel Inc.Hosting & Auslieferung der AnwendungBetrieb der App, Server-LogsEU-Edge / USAEU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln (SCC)
Higgsfield AI, Inc.KI-Bildgenerierung (Text zu Bild)Erstellen von Anzeigen-Bildern auf Wunsch des NutzersUSAEU-Standardvertragsklauseln (SCC) gemäß Anbieter-Bedingungen
Features and Labels, Inc. (fal.ai)KI-Bildbearbeitung (Bild zu Bild)Produkttreues Umgestalten hochgeladener ProduktbilderUSAEU-Standardvertragsklauseln (SCC) gemäß Anbieter-Bedingungen