Auftragsverarbeitungsvertrag
Hinweis: Die verbindliche Fassung dieses Dokuments ist die englische Version. Diese deutsche Übersetzung dient ausschließlich zu Informationszwecken.
Auftragsverarbeitungsvertrag (AVV)
1. Präambel
Dieser Auftragsverarbeitungsvertrag („AVV") wird geschlossen zwischen:
- Verantwortlicher: Der Kunde („Verantwortlicher"), der die Dienste der Creativate Technologies GmbH nutzt
- Auftragsverarbeiter: Creativate Technologies GmbH, Lahnstraße 65, 60326 Frankfurt am Main, Deutschland („Auftragsverarbeiter")
2. Umfang und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zum Zweck der Erbringung der in den Nutzungsbedingungen definierten Dienste:
- Hosting und Speicherung von Geschäftsinhalten und Nutzerdaten
- KI-gestützte Analyse, Inhaltsgenerierung und Entscheidungsunterstützung
- Kontoverwaltung und Authentifizierung
- Kundenbeziehungsmanagement und Kommunikation
- Analyse und Plattformoptimierung
3. Kategorien betroffener Personen
- Nutzer (Mitarbeiter, Auftragnehmer oder Vertreter des Verantwortlichen)
- Endnutzer der Produkte oder Dienste des Verantwortlichen (soweit zutreffend)
- Geschäftskontakte und Stakeholder, die in hochgeladenen Inhalten genannt werden
4. Kategorien verarbeiteter personenbezogener Daten
- Identitäts- und Kontaktdaten
- Konto- und Authentifizierungsdaten
- Geschäftsinhalte und KI-Interaktionsdaten
- Technische und Gerätedaten
- Nutzungs- und Interaktionsdaten
- Kommunikationsdaten
5. Dauer der Verarbeitung
Die Verarbeitung dauert für die Laufzeit des Dienstleistungsvertrags zuzüglich gesetzlich vorgeschriebener Aufbewahrungsfristen. Nach Beendigung werden die Daten gemäß Abschnitt 11 gelöscht oder zurückgegeben.
6. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter:
a) Verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern nicht durch EU- oder mitgliedstaatliches Recht zur Verarbeitung verpflichtet
b) Stellt sicher, dass zur Verarbeitung befugte Personen sich zur Vertraulichkeit verpflichtet haben
c) Ergreift geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich:
- Verschlüsselung personenbezogener Daten bei der Übertragung (TLS) und im Ruhezustand
- Rollenbasierte Zugriffskontrolle (RBAC)
- Regelmäßige Sicherheitsbewertungen und Schwachstellentests
- Protokollierung und Überwachung des Datenzugriffs
- Verfahren zur Reaktion auf Datenverletzungen
d) Beauftragt keinen weiteren Auftragsverarbeiter ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen
e) Unterstützt den Verantwortlichen bei der Einhaltung der Pflichten zur Beantwortung von Anträgen betroffener Personen
f) Unterstützt den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen und Vorabkonsultationen mit Aufsichtsbehörden
g) Löscht oder gibt nach Beendigung der Auftragsverarbeitung sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen zurück
h) Stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung erforderlich sind, und ermöglicht Überprüfungen
7. Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern und gibt ihm die Möglichkeit zum Widerspruch.
Aktuelle Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Zweck | Datenstandort |
|---|---|---|
| Amazon Web Services (AWS) | Cloud-Infrastruktur (EC2, S3, CloudFront, Route 53) | EU (Frankfurt) |
| Anthropic | KI-Sprachmodell (Claude) | US (SVK) |
| OpenAI | KI-Sprachmodell (GPT) | US (SVK) |
| Google AI | KI-Sprachmodell (Gemini) | US (SVK) |
| HuggingFace | ML-Modell-Hosting und Inferenz | EU/US (SVK) |
| HubSpot | CRM und Marketing-Automatisierung | EU (Deutschland) |
8. Internationale Datenübermittlungen
Bei Übermittlungen personenbezogener Daten außerhalb des EWR stellt der Auftragsverarbeiter angemessene Schutzmaßnahmen sicher:
- Standardvertragsklauseln (SVK) der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914)
- Auftragsverarbeitungsverträge mit jedem Unterauftragsverarbeiter
- Technische Maßnahmen einschließlich Verschlüsselung und Zugriffskontrolle
- Transfer-Folgenabschätzungen soweit erforderlich
9. Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen gemäß Art. 15–22 DSGVO:
- Auskunftsrecht
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
- Rechte bezüglich automatisierter Entscheidungsfindung und Profiling
10. Meldung von Datenverletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich (spätestens innerhalb von 48 Stunden) nach Bekanntwerden. Die Meldung umfasst:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Anzahl betroffener Personen
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung
11. Datenlöschung und Rückgabe
Nach Beendigung des Dienstleistungsvertrags:
- Löschung oder Rückgabe aller personenbezogenen Daten innerhalb von 30 Tagen nach Wahl des Verantwortlichen
- Löschung bestehender Kopien, sofern nicht EU- oder mitgliedstaatliches Recht die Aufbewahrung vorschreibt
- Schriftliche Bestätigung der Löschung auf Anfrage
12. Audits und Überprüfungen
Der Verantwortliche kann die Einhaltung dieses AVV durch den Auftragsverarbeiter prüfen:
- Mit mindestens 30 Tagen schriftlicher Vorankündigung
- Während der üblichen Geschäftszeiten
- Ohne unangemessene Störung des Geschäftsbetriebs des Auftragsverarbeiters
- Auf Kosten des Verantwortlichen
13. Enterprise-Bestimmungen
Für Enterprise-Kunden kann ein individueller AVV ausgehandelt werden, um spezifische Anforderungen zu berücksichtigen. Kontaktieren Sie legal@creativate.tech für Enterprise-Auftragsverarbeitungsvereinbarungen.
14. Kontakt
Für Fragen zu diesem AVV oder zur Datenverarbeitung:
Creativate Technologies GmbH
Lahnstraße 65, 60326 Frankfurt am Main, Deutschland
E-Mail: legal@creativate.tech
Datenschutzbeauftragter: privacy@creativate.tech
Datum des Inkrafttretens: Februar 2026 Creativate Technologies GmbH