Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von Reflytic gemäß Art. 28 DSGVO.

Vertragsparteien:

• Verantwortlicher (Auftraggeber): Sie als Moderator oder Promoter
• Auftragsverarbeiter (Auftragnehmer): KERNATEC, Betreiber von Reflytic

Gegenstand: Bereitstellung der Reflytic-Plattform für Revenue-Share-Management und Analytics-Auswertung

1.1 Gegenstand
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen (Nutzungsbedingungen).

1.2 Dauer
Die Laufzeit dieses AVV entspricht der Dauer des Nutzungsverhältnisses. Der AVV endet automatisch mit Beendigung der Nutzung oder Löschung des Kontos.

1.3 Art der Verarbeitung

• Speicherung in verschlüsselten Datenbanken
• Automatisierte Verarbeitung durch Celery-Tasks
• API-Aufrufe zu Google Analytics
• Aggregation und Visualisierung von Daten
• Kommunikation via In-App-Chat

2.1 Kategorien betroffener Personen

• Moderatoren (Google Analytics Property-Inhaber)
• Promoter (Influencer)
• Endnutzer (indirekt über Google Analytics)

2.2 Kategorien personenbezogener Daten

• Stammdaten: Name, E-Mail, Benutzername
• Authentifizierung: Passwort-Hashes, OAuth-Tokens
• Nutzungsdaten: Login-Zeiten, IP-Adressen, Geräteinfo
• Kampagnendaten: Analytics-Metriken, Umsatzdaten
• Kommunikationsdaten: Chat-Nachrichten (verschlüsselt)
• Zahlungsdaten: Abonnement-Status, Transaktionshistorie

3.1 Weisungsgebundenheit
Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers (z.B. durch Nutzung der Plattform-Funktionen).

3.2 Vertraulichkeit
Alle zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet und wurden entsprechend geschult.

3.3 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer gewährleistet:

• Verschlüsselung: Fernet (AES-256) für Daten at rest, TLS 1.3 in transit
• Zugriffskontrolle: Rollenbasierte Berechtigungen, 2FA-Option
• Datensicherung: Tägliche verschlüsselte Backups
• Incident Response: Benachrichtigung binnen 72h bei Datenpannen
• Logging: Audit-Logs für alle kritischen Operationen

3.4 Unterstützung des Verantwortlichen
Der Auftragnehmer unterstützt den Auftraggeber bei:

• Auskunftsanfragen betroffener Personen
• Datenlöschungen und -berichtigungen
• Datenportabilität (Export-Funktionen)
• Datenschutz-Folgenabschätzungen (auf Anfrage)

4.1 Genehmigung
Der Auftraggeber stimmt der Beauftragung folgender Subunternehmer zu:

Hosting und Infrastruktur:

• Google Cloud Platform (Google Ireland Limited, Irland)

  • Zweck: Analytics API, OAuth-Dienste
  • Garantien: EU-Standardvertragsklauseln

• Hostinger (Deutschland)

  • Zweck: Server-Hosting
  • Garantien: DSGVO-konform, EU-Standort

Zahlungsabwicklung:

• Stripe Inc. (USA)
  • Zweck: Zahlungsverarbeitung
  • Garantien: PCI DSS, EU-Standardvertragsklauseln

Caching und Queues:

• Redis Labs (EU-Region)
  • Zweck: Performance-Optimierung
  • Garantien: Verschlüsselte Verbindungen

4.2 Benachrichtigung bei Änderungen
Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor Beauftragung neuer Subunternehmer. Widerspruch führt zur Beendigung des Vertrags ohne Kündigungsfrist.

5.1 Weisungsrecht
Der Auftraggeber kann jederzeit dokumentierte Weisungen zur Datenverarbeitung erteilen (z.B. Löschung, Exportanforderung).

5.2 Kontrollrechte
Der Auftraggeber kann Audits durchführen oder durch Dritte durchführen lassen (nach Voranmeldung, max. 1x pro Jahr).

5.3 Informationspflichten
Der Auftraggeber muss den Auftragnehmer informieren über:

• Einschränkungen der Verarbeitungserlaubnis
• Fehler oder Unregelmäßigkeiten bei der Verarbeitung
• Kontrollmaßnahmen von Aufsichtsbehörden

6.1 Meldepflicht
Der Auftragnehmer meldet Datenschutzverletzungen unverzüglich (binnen 72h) an:

• E-Mail: dpo@reflytic.com
• Notfall-Hotline: 015563450629

6.2 Dokumentation
Jede Datenschutzverletzung wird dokumentiert mit:

• Art der Verletzung
• Betroffene Datenkategorien und Personen
• Maßnahmen zur Schadensbegrenzung
• Empfehlungen zur Vermeidung künftiger Vorfälle

6.3 Zusammenarbeit
Der Auftragnehmer unterstützt den Auftraggeber bei der Meldung an Aufsichtsbehörden und betroffene Personen.

7.1 Standort der Verarbeitung
Primärer Verarbeitungsstandort: Deutschland/EU

7.2 Drittlandtransfers
Bei Transfers in Drittländer (USA) gelten:

• EU-Standardvertragsklauseln
• Zusätzliche Garantien gemäß Schrems-II-Urteil
• Auftraggeber wird über alle Transfers informiert

7.3 Zugriff aus Drittländern
Kein routinemäßiger Zugriff von außerhalb der EU. Bei behördlichen Anfragen erfolgt Benachrichtigung des Auftraggebers (sofern rechtlich zulässig).

8.1 Nach Vertragsende
Der Auftragnehmer löscht alle personenbezogenen Daten binnen 30 Tagen nach Vertragsende, es sei denn:

• Gesetzliche Aufbewahrungspflichten bestehen (z.B. Steuerrecht: 10 Jahre)
• Auftraggeber verlangt Rückgabe (Export als JSON/CSV)

8.2 Löschbestätigung
Auf Anfrage stellt der Auftragnehmer eine Löschbestätigung aus.

8.3 Backups
Daten in Backups werden nach 90 Tagen automatisch gelöscht (normale Backup-Rotation).

9.1 Haftung des Auftragnehmers
Der Auftragnehmer haftet für Schäden, die durch DSGVO-Verstöße verursacht werden, gemäß Art. 82 DSGVO.

9.2 Haftungsbeschränkung
Die Haftung ist begrenzt auf:

• Vorsatz und grobe Fahrlässigkeit: unbegrenzt
• Leichte Fahrlässigkeit: Höhe der im letzten Jahr gezahlten Gebühren

10.1 Vorrang
Dieser AVV geht den Nutzungsbedingungen in Datenschutzfragen vor.

10.2 Änderungen
Änderungen werden 30 Tage im Voraus angekündigt. Widerspruch führt zur Beendigung.

10.3 Salvatorische Klausel
Unwirksamkeit einzelner Bestimmungen berührt die Gültigkeit des übrigen AVV nicht.

10.4 Anwendbares Recht
Deutsches Recht unter Beachtung der DSGVO.