The German version is legally binding. This English text is for convenience only.
LEGAL · DATA PROCESSING AGREEMENT (AVV) · STAND 04/17/2026
ENTWURF — nicht anwaltlich geprüft, nur zu internen Zwecken. Vor Live-Gang durch Fachanwält:in prüfen lassen.
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV" oder „Vertrag") regelt die Verarbeitung personenbezogener Daten durch die Betreibergesellschaft der Plattform Collavo (nachfolgend „Auftragsverarbeiter") im Auftrag eines Brand-/Unternehmenskunden (nachfolgend „Verantwortlicher"), der Collavo als Software-as-a-Service-Plattform für Creator-Operations, Kampagnenmanagement, Creator-Discovery, Asset-Review, Publishing, Messaging, Analytics und Finanzen/Auszahlungen nutzt.
Der AVV ist integraler Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags (Nutzungsvertrag / Allgemeine Geschäftsbedingungen Collavo, nachfolgend „Hauptvertrag") und wird im Rahmen des Brand-Onboardings bzw. in den Organisations-Einstellungen (Settings) elektronisch zur Annahme bereitgestellt (vgl. § 16). Soweit der Hauptvertrag und dieser AVV in datenschutzrechtlichen Fragen voneinander abweichen, geht dieser AVV vor.
Methodischer Hinweis (nicht Vertragsbestandteil): Dieser Entwurf folgt der Mindestinhalte-Checkliste zu Art. 28 Abs. 3 lit. a–h DSGVO sowie den einschlägigen Klauselkatalogen zu Sub-Auftragsverarbeitung (Art. 28 Abs. 2, 4), Drittlandtransfer (Beschluss (EU) 2021/914), Löschung/Rückgabe (Art. 28 Abs. 3 lit. g) und Audit (Art. 28 Abs. 3 lit. h). Alle betreiberspezifischen Angaben sind als [PLATZHALTER] markiert und vor Veröffentlichung vom Betreiber zu verifizieren.
(1) Verantwortlicher (im Sinne des Art. 4 Nr. 7 DSGVO) ist der Brand-/Unternehmenskunde, der eine Brand-Organisation („Brand-Org" / Tenant) auf der Plattform Collavo betreibt und diesen AVV im Onboarding bzw. in den Organisations-Einstellungen annimmt. Maßgeblich sind die im Account hinterlegten Organisationsstammdaten (Firmierung, Anschrift, vertretungsberechtigte Person, E-Mail-Adresse der/des datenschutzrechtlich Verantwortlichen).
(2) Auftragsverarbeiter (im Sinne des Art. 4 Nr. 8 DSGVO) ist:
(3) Verantwortlicher und Auftragsverarbeiter werden nachfolgend einzeln auch „Partei" und gemeinsam „Parteien" genannt.
(1) Beauftragung. Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag und nach Weisung des Verantwortlichen. Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus diesem Vertrag und der Anlage 1. Der Auftragsverarbeiter sichert zu, dass er hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet (Art. 28 Abs. 1 DSGVO).
(2) Weisungsbindung als Grundsatz. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit nicht eine Verarbeitungspflicht nach Unionsrecht oder dem Recht der Mitgliedstaaten besteht. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Verpflichtung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).
(3) Rollenabgrenzung — eigene Verantwortlichkeit von Collavo (klarstellend). Die Parteien sind sich einig, dass die Verarbeitung personenbezogener Daten auf der Plattform Collavo rollenmäßig gemischt ist. Dieser AVV erfasst ausschließlich diejenigen Verarbeitungen, die der Auftragsverarbeiter im Auftrag des Verantwortlichen vornimmt (insbesondere Kampagnen-, Creator-, Asset- und Messaging-Daten innerhalb der Brand-Org des Verantwortlichen). Nicht von diesem AVV erfasst und in eigener datenschutzrechtlicher Verantwortlichkeit des Auftragsverarbeiters (Art. 4 Nr. 7 DSGVO) erfolgen insbesondere:
(1) Gegenstand. Gegenstand des Auftrags ist die Bereitstellung der Plattform Collavo als SaaS-Lösung und die damit verbundene Verarbeitung personenbezogener Daten zur Durchführung von Social-Content-Kampagnen des Verantwortlichen über mehrere Kanäle. Eine detaillierte Beschreibung der Verarbeitungstätigkeiten enthält Anlage 1.
(2) Art der Verarbeitung. Die Verarbeitung umfasst insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Bereitstellen, Verknüpfen, Einschränken, Löschen und Vernichten personenbezogener Daten — durchgeführt überwiegend automatisiert mittels Cloud-Infrastruktur (Web-Frontend Next.js/Vercel, API NestJS/Railway, Mobile Expo, Datenbank Neon Postgres, Objektspeicher Cloudflare R2).
(3) Zweck. Zwecke der Verarbeitung sind:
requiresConfirmation) und keine ausschließlich automatisierte Entscheidung mit Rechtswirkung i.S.d. Art. 22 DSGVO darstellen;Die Verarbeitung erfolgt ausschließlich zu den im Hauptvertrag und in Anlage 1 festgelegten Zwecken; eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters außerhalb der in § 2 Abs. 3 genannten Eigen-Verantwortlichkeit findet nicht statt.
(4) Dauer. Die Verarbeitung im Auftrag beginnt mit Annahme dieses AVV und der aktiven Nutzung der Plattform und ist auf die Laufzeit des Hauptvertrags befristet. Nach Beendigung gelten die Regelungen zu Löschung und Rückgabe (§ 12). Die Dauer der Speicherung einzelner Datenarten richtet sich nach den im Hauptvertrag und in festgelegten Aufbewahrungs- und Löschfristen sowie nach gesetzlichen Aufbewahrungspflichten.
(1) Datenarten. Im Auftrag des Verantwortlichen werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet (detailliert in Anlage 1):
(2) Besondere Kategorien (Art. 9 DSGVO). Eine gezielte Verarbeitung besonderer Kategorien personenbezogener Daten ist kein beabsichtigter Zweck des Auftrags. Es kann jedoch nicht ausgeschlossen werden, dass hochgeladene Assets (Bilder/Videos mit abgebildeten Personen), Messaging-Inhalte sowie Audience-/Demografiedaten im Einzelfall — auch unbeabsichtigt — Informationen enthalten oder Rückschlüsse zulassen, die besondere Kategorien i.S.d. Art. 9 DSGVO betreffen (z. B. Gesundheit, ethnische Herkunft, religiöse oder politische Überzeugungen, sexuelle Orientierung). Der Auftragsverarbeiter behandelt solche Daten im Rahmen der technischen und organisatorischen Maßnahmen nach § 8 / Anlage 2. Die datenschutzrechtliche Verantwortung für die Rechtmäßigkeit der Inhalte und für etwaige Einwilligungen abgebildeter oder betroffener Personen liegt beim Verantwortlichen (§ 5). (Konkretes Auftreten abhängig von den tatsächlichen Kampagnentypen des Verantwortlichen — vom Betreiber/der Kanzlei zu verifizieren.)
(3) Kategorien betroffener Personen. Betroffene Personen sind insbesondere:
(1) Der Verantwortliche ist im Rahmen dieses Auftragsverhältnisses für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten und für die Wahrung der Rechte betroffener Personen allein verantwortlich (Art. 28 Abs. 3 lit. a, Art. 24 DSGVO). Er bestimmt Art und Umfang der über die Plattform verarbeiteten Daten und stellt sicher, dass für die jeweilige Verarbeitung eine Rechtsgrundlage (Art. 6, ggf. Art. 9 DSGVO) besteht.
(2) Der Verantwortliche stellt insbesondere sicher, dass
(3) Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter Weisungen nach Maßgabe des § 6 zu erteilen. Er benennt die zur Erteilung von Weisungen berechtigten Personen (Standard: die im Account hinterlegten Administrator:innen der Brand-Org).
(4) Der Verantwortliche unterrichtet den Auftragsverarbeiter unverzüglich, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellt.
(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, er ist hierzu nach Unionsrecht oder dem Recht eines Mitgliedstaats verpflichtet (§ 2 Abs. 2).
(2) Form und Dokumentation der Weisungen. Weisungen erfolgen grundsätzlich in Textform (§ 126b BGB) oder über die dafür vorgesehenen Konfigurations- und Steuerungsfunktionen der Plattform (z. B. Einstellungen der Brand-Org, Freigabe-/Veröffentlichungsfunktionen, Lösch-/Exportfunktionen). Die im Hauptvertrag und in diesem AVV beschriebene Auftragsdurchführung gilt als anfängliche Weisung. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Der Auftragsverarbeiter dokumentiert Weisungen sowie deren Umsetzung.
(3) Hinweis bei rechtswidriger Weisung. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig (Verstoß gegen DSGVO oder sonstige Datenschutzbestimmungen der Union oder der Mitgliedstaaten), so teilt er dies dem Verantwortlichen unverzüglich mit (Art. 28 Abs. 3 Unterabsatz 2 DSGVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.
(4) Überschreitung der Weisung. Verarbeitet der Auftragsverarbeiter personenbezogene Daten unter Verstoß gegen die Weisungen für eigene Zwecke, gilt er insoweit als Verantwortlicher (Art. 28 Abs. 10 DSGVO).
(1) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(2) Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des jeweiligen Beschäftigungs- oder Tätigkeitsverhältnisses fort. Der Auftragsverarbeiter dokumentiert die Vertraulichkeitsverpflichtungen und legt sie dem Verantwortlichen auf Verlangen in geeigneter Form (auch geschwärzt) vor.
(3) Der Auftragsverarbeiter stellt sicher, dass die mit der Verarbeitung betrauten Personen mit den einschlägigen Bestimmungen des Datenschutzes vertraut gemacht und im erforderlichen Umfang geschult werden (Art. 32 Abs. 4 DSGVO).
(4) Zugriffsbeschränkung / Mandantentrennung. Der Zugriff auf die Daten des Verantwortlichen ist technisch und organisatorisch auf das erforderliche Maß beschränkt (mandantenfähige Trennung über organizationId; rollenbasierte Zugriffsrechte). Näheres regelt Anlage 2 (TOM).
(1) Der Auftragsverarbeiter trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die konkreten Maßnahmen sind in Anlage 2 beschrieben und umfassen insbesondere:
CreatorTaxData), Transportverschlüsselung (TLS) und signierte URLs für Asset-Zugriffe (Cloudflare R2);better_auth; Google-OAuth);(2) Die TOM unterliegen dem technischen Fortschritt. Der Auftragsverarbeiter ist berechtigt, alternative angemessene Maßnahmen umzusetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen dokumentiert der Auftragsverarbeiter und stellt sie dem Verantwortlichen in aktualisierter Fassung von Anlage 2 zur Verfügung.
(3) Die in Anlage 2 beschriebenen TOM sind aus der Architektur abgeleitet und vom Betreiber vor Veröffentlichung zu verifizieren und ggf. um zertifizierungsbezogene Angaben (z. B. ISO 27001, SOC 2, BSI C5 — sofern vorhanden) zu ergänzen.
(1) Allgemeine Genehmigung. Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO, weitere Auftragsverarbeiter („Sub-Auftragsverarbeiter") gemäß der als Anlage 3 beigefügten Liste mit der Verarbeitung personenbezogener Daten zu beauftragen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in Anlage 3 abschließend aufgeführt und mit diesem Vertrag genehmigt.
(2) Informationspflicht bei Änderungen. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens dreißig (30) Kalendertage vor Wirksamwerden über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Sub-Auftragsverarbeitern (Art. 28 Abs. 2 Satz 2 DSGVO). Die Information erfolgt durch aktive Benachrichtigung (E-Mail oder In-App-Mitteilung) an die im Account hinterlegte Datenschutzkontaktstelle des Verantwortlichen, so dass dieser sein Widerspruchsrecht (Abs. 3) tatsächlich ausüben kann. Eine in der Plattform/auf der Website bereitgestellte, abonnierbare Aktualisierungsliste tritt nur ergänzend hinzu und ersetzt die aktive Benachrichtigung nicht.
(3) Widerspruchsrecht und aufschiebende Wirkung. Der Verantwortliche kann der Änderung innerhalb von dreißig (30) Kalendertagen nach Zugang der Information aus berechtigten Gründen in Textform widersprechen. Berechtigte Gründe liegen insbesondere vor bei Drittlandverarbeitung ohne ausreichende Schutzmaßnahmen, bei unzureichenden technischen und organisatorischen Maßnahmen oder bei einem Sub-Auftragsverarbeiter, der ein direkter Wettbewerber des Verantwortlichen ist. Der beabsichtigte Wechsel wird nicht vor Ablauf der Widerspruchsfrist und im Fall eines fristgerechten Widerspruchs nicht vor dessen Klärung in Bezug auf die Daten des widersprechenden Verantwortlichen wirksam; bis dahin werden dessen Daten nicht an den neuen Sub-Auftragsverarbeiter übergeben.
(4) Folge des Widerspruchs. Bei einem berechtigten Widerspruch setzt der Auftragsverarbeiter den Einsatz des betreffenden Sub-Auftragsverarbeiters hinsichtlich der Daten des widersprechenden Verantwortlichen aus und versucht vorrangig, dem Widerspruch durch zumutbare technische oder organisatorische Maßnahmen oder durch Einsatz eines alternativen Sub-Auftragsverarbeiters abzuhelfen. Erst wenn eine Abhilfe nicht mit zumutbarem Aufwand möglich ist, ist der Verantwortliche — als ultima ratio — zur außerordentlichen Kündigung des Hauptvertrags und dieses AVV berechtigt.
(5) Haftungsdurchleitung (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter schließt mit jedem Sub-Auftragsverarbeiter einen Vertrag, der dem Sub-Auftragsverarbeiter im Wesentlichen die gleichen Datenschutzpflichten auferlegt, wie sie in diesem Vertrag für den Auftragsverarbeiter festgelegt sind (insbesondere hinreichende Garantien für geeignete TOM). Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Erfüllung der Pflichten durch den Sub-Auftragsverarbeiter unverändert weiter.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung der Pflichten zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte nach Art. 12–23 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Rechte im Zusammenhang mit automatisierter Entscheidungsfindung).
(2) Selfservice-Funktionen. Soweit die Plattform dem Verantwortlichen Selbstbedienungsfunktionen zur Erfüllung von Betroffenenrechten bereitstellt (z. B. Export-, Berichtigungs- und Löschfunktionen, Datenexport in maschinenlesbarem Format), gilt deren Bereitstellung als Erfüllung der Unterstützungspflicht für die betreffenden Anträge.
(3) Weiterleitung. Wendet sich eine betroffene Person mit einem solchen Antrag direkt an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter und beantwortet ihn nicht selbst, soweit die Daten dem Auftrag des Verantwortlichen zuzuordnen sind. Betrifft der Antrag die Eigen-Verantwortlichkeit des Auftragsverarbeiters nach § 2 Abs. 3, bearbeitet der Auftragsverarbeiter den Antrag selbst.
(4) Frist und Aufwand. Der Auftragsverarbeiter leistet die Unterstützung unverzüglich, in der Regel innerhalb von zehn (10) Kalendertagen nach Eingang einer entsprechenden Aufforderung des Verantwortlichen, so dass dieser die Fristen des Art. 12 Abs. 3 DSGVO einhalten kann. Die Grund- und Standardunterstützung bei der Erfüllung von Betroffenenrechten — insbesondere über die bereitgestellten Selbstbedienungs-, Export- und Löschfunktionen — erfolgt entgeltfrei. Nur soweit die erforderliche Unterstützung über den vertraglich geschuldeten Standardfunktionsumfang erheblich und außergewöhnlich hinausgeht (z. B. umfangreiche manuelle Recherchen außerhalb der Plattformfunktionen), kann der Auftragsverarbeiter eine angemessene Vergütung verlangen; Näheres regelt [PLATZHALTER: Vergütungsregelung / Preisliste].
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten, insbesondere bei:
(2) Meldung von Datenschutzverletzungen (Meldekette). Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die im Auftrag des Verantwortlichen verarbeitete Daten betrifft, unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden (Art. 33 Abs. 2 DSGVO), damit der Verantwortliche seine 72-Stunden-Frist nach Art. 33 Abs. 1 DSGVO einhalten kann. Die 24-Stunden-Angabe ist eine Höchstfrist; der zwingende Maßstab bleibt „unverzüglich" und wird durch die Höchstfrist nicht relativiert. Die Meldung erfolgt an die im Account hinterlegte datenschutzrechtliche Kontaktadresse des Verantwortlichen und enthält, soweit verfügbar, die Angaben nach Art. 33 Abs. 3 DSGVO (Art und Umfang, betroffene Datenarten und -kategorien, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen, Kontaktstelle).
(3) Meldewege.
(4) Der Auftragsverarbeiter dokumentiert Datenschutzverletzungen sowie die ergriffenen Abhilfemaßnahmen und stellt dem Verantwortlichen die zur Erfüllung seiner Rechenschafts- und Meldepflichten erforderlichen Informationen zur Verfügung.
(5) Die Grundunterstützung nach diesem Paragraphen — insbesondere die unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33/34 DSGVO) und die hierfür erforderliche Informationsbereitstellung — erbringt der Auftragsverarbeiter entgeltfrei als geschuldete Kernpflicht aus Art. 28 Abs. 3 lit. f DSGVO. Nur ein klar abgegrenzter, außergewöhnlicher Mehraufwand (z. B. umfangreiche forensische Sonderanalysen auf gesondertes Verlangen) kann nach Maßgabe von [PLATZHALTER: Vergütungsregelung] vergütet werden.
(1) Wahlrecht. Nach Beendigung der Erbringung der Verarbeitungsleistungen entscheidet der Verantwortliche innerhalb von dreißig (30) Kalendertagen, ob die personenbezogenen Daten zurückgegeben oder gelöscht werden sollen. Der Verantwortliche kann für verschiedene Datenbestände unterschiedliche Optionen wählen. Trifft der Verantwortliche innerhalb der Frist keine Wahl, ist der Auftragsverarbeiter nach Mahnung und angemessener Nachfrist berechtigt, die Daten zu löschen.
(2) Rückgabe. Bei Wahl der Rückgabe übergibt der Auftragsverarbeiter die personenbezogenen Daten innerhalb von dreißig (30) Kalendertagen in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. CSV, JSON; Assets über Export/signierte URLs) an einen vom Verantwortlichen benannten Empfänger. Die Übertragung erfolgt verschlüsselt nach dem Stand der Technik.
(3) Löschung. Bei Wahl der Löschung löscht der Auftragsverarbeiter die personenbezogenen Daten innerhalb von dreißig (30) Kalendertagen vollständig und unwiederbringlich. Backups werden in der nächsten regulären Backup-Rotation, spätestens jedoch innerhalb von neunzig (90) Kalendertagen, überschrieben oder gelöscht. Die Löschung erfolgt nach anerkannten Standards (DIN 66399, mindestens Schutzklasse 2; bei Objektspeicher Löschung, soweit technisch umsetzbar nebst Schlüsselvernichtung der Feldverschlüsselung). Ist ein selektives „Crypto-Shredding" aufgrund der Schlüsselarchitektur (z. B. mandantenübergreifend genutzter Schlüssel) nicht datensatz- bzw. mandantenselektiv möglich, erfolgt die unwiederbringliche Löschung durch vollständigen Hard-Delete der betreffenden Datensätze; die Zusage einer unwiederbringlichen Löschung bleibt davon unberührt. Der plattformseitige produktive Löschflow (24-Stunden-Verifizierungslink, 14-Tage-Grace-Periode, anschließender Hard-Delete-Cascade) bleibt hiervon unberührt und kann zur technischen Umsetzung genutzt werden.
(4) Gesetzliche Aufbewahrungspflichten. Soweit Unionsrecht oder das Recht eines Mitgliedstaats die weitere Speicherung vorschreibt (insbesondere § 257 HGB, § 147 AO sowie die steuerlichen Melde- und Aufbewahrungspflichten aus DAC7 hinsichtlich der Auszahlungs-/Steuerdaten in eigener Verantwortlichkeit des Auftragsverarbeiters nach § 2 Abs. 3), bleibt der Auftragsverarbeiter berechtigt und verpflichtet, die betroffenen Datensätze für die gesetzliche Aufbewahrungsdauer in einem zugriffsbeschränkten, ausschließlich der Erfüllung der gesetzlichen Pflicht dienenden Bereich vorzuhalten (Sperrung). Datenart, Rechtsgrundlage und Aufbewahrungsdauer werden dokumentiert; die Löschung erfolgt unverzüglich nach Ablauf der Aufbewahrungspflicht.
(5) Nachweis. Der Auftragsverarbeiter dokumentiert die Löschung oder Rückgabe in einem Protokoll, das dem Verantwortlichen auf Verlangen innerhalb von nach Abschluss der Maßnahme vorzulegen ist. Das Protokoll enthält Datum, Datenarten, Mengenangaben, Methode und die verantwortliche Person.
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO und in diesem Vertrag festgelegten Pflichten zur Verfügung. Der Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien der im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO) und legt es der Aufsichtsbehörde sowie auf Verlangen dem Verantwortlichen vor.
(2) Planmäßiges Audit. Der Verantwortliche kann einmal pro Kalenderjahr ein planmäßiges Audit beim Auftragsverarbeiter durchführen oder durch einen von ihm beauftragten unabhängigen Prüfer durchführen lassen. Das planmäßige Audit ist mindestens dreißig (30) Kalendertage im Voraus in Textform anzukündigen und so durchzuführen, dass der Geschäftsbetrieb des Auftragsverarbeiters möglichst wenig beeinträchtigt wird.
(3) Anlassbezogenes Audit. Über das planmäßige Audit hinaus ist der Verantwortliche bei begründetem Anlass zur Durchführung eines anlassbezogenen Audits ohne die Frist aus Absatz 2 berechtigt. Ein begründeter Anlass liegt insbesondere vor bei einer Datenpanne, bei einer Anordnung der Aufsichtsbehörde sowie bei einem konkreten Hinweis auf eine Pflichtverletzung des Auftragsverarbeiters.
(4) Nachweis durch Prüfberichte/Zertifikate. Der Auftragsverarbeiter kann anstelle eines Vor-Ort-Audits die Vorlage aktueller Prüfberichte eines unabhängigen Prüfers nach anerkannten Standards (z. B. ISO/IEC 27001, SOC 2 Type II, BSI C5 Typ 2) anbieten. Der Verantwortliche kann dieses Angebot annehmen, wenn der Prüfbericht die zu prüfenden Verarbeitungstätigkeiten abdeckt und nicht älter als zwölf (12) Monate ist. Ein Mindestrecht auf Inspektion bei begründetem Anlass bleibt unberührt. (Verfügbarkeit konkreter Zertifikate vom Betreiber zu verifizieren.)
(5) Geschäftsgeheimnis-Schutz. Der Auditor unterliegt der Verschwiegenheit (NDA). Der Auftragsverarbeiter kann sensible Geschäftsgeheimnisse (insbesondere Quellcode, Konfigurationen, kryptographische Schlüssel, Sub-AV-Verträge) in geschwärzter Form oder durch geeignete Aggregation vorlegen. Ein als direkter Wettbewerber tätiger Auditor kann aus konkret begründeten Gründen abgelehnt werden.
(6) Kosten. Die Kosten des planmäßigen Audits trägt der Verantwortliche. Werden bei einem Audit Pflichtverletzungen des Auftragsverarbeiters festgestellt, trägt der Auftragsverarbeiter die Kosten des betreffenden Audits sowie etwaiger Folgeaudits zur Nachprüfung. Angemessene Aufwände des Auftragsverarbeiters für die Unterstützung planmäßiger Audits können nach [PLATZHALTER: Vergütungsregelung] berechnet werden.
Der Auditbericht ist dem Auftragsverarbeiter binnen nach Audit zur Stellungnahme vorzulegen; der Auftragsverarbeiter nimmt binnen Stellung und erstellt erforderlichenfalls einen Mangelbehebungsplan mit angemessenen Fristen.
(1) Eine Verarbeitung personenbezogener Daten in einem Drittland (außerhalb von EU/EWR) findet nur statt, soweit die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind und im Rahmen der dokumentierten Weisung des Verantwortlichen (§ 6 Abs. 1) bzw. zur Erbringung der vertraglich vereinbarten Leistung erforderlich ist. Eine Übersicht der Drittlandbezüge der eingesetzten Dienste enthält Anlage 3.
(2) Standardvertragsklauseln (SCC). Soweit ein Sub-Auftragsverarbeiter personenbezogene Daten in einem Drittland ohne Angemessenheitsbeschluss verarbeitet, gewährleistet der Auftragsverarbeiter geeignete Garantien im Sinne des Art. 46 DSGVO, insbesondere durch Abschluss der EU-Standardvertragsklauseln (Beschluss (EU) 2021/914) im jeweils nach Rolle und Transferkonstellation einschlägigen Modul — Modul 3 (Auftragsverarbeiter-an-Auftragsverarbeiter) für die weisungsgebundenen Sub-Auftragsverarbeiter und Modul 2 (Verantwortlicher-an-Auftragsverarbeiter) für solche Transfers, bei denen Collavo selbst Verantwortlicher ist (§ 2 Abs. 3); das jeweils gewählte Modul ist pro Transfer zu dokumentieren —, ergänzt um eine Transfer-Folgenabschätzung (TIA) nach den EDSA-Empfehlungen 01/2020 und um zusätzliche Schutzmaßnahmen (insbesondere Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen).
(3) EU-US Data Privacy Framework. Für in den USA ansässige Sub-Auftragsverarbeiter kann sich die Übermittlung auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF) stützen, sofern und solange der jeweilige Empfänger über eine aktive DPF-Selbstzertifizierung verfügt. Andernfalls greifen die Garantien nach Absatz 2. (Aktiver DPF-Status je Dienst vom Betreiber zu verifizieren.)
(4) Bekannte Drittlandbezüge (aus Architektur abgeleitet — vom Betreiber zu verifizieren). Bei mehreren eingesetzten Diensten (u. a. Vercel, OpenAI, Cloudflare R2, Stripe, SendGrid, Meta/Instagram, Google/YouTube) bestehen USA-/Drittlandbezüge; bei TikTok ist der Verarbeitungs-/Transferort gesondert zu prüfen (mögliche Bezüge zu CN/SG/US). Bei Neon, Railway, Sentry und Expo ist der Sitz/Transfer zu verifizieren. Details und Schutzmechanismen sind in Anlage 3 auszuweisen.
(5) Der Auftragsverarbeiter informiert den Verantwortlichen über wesentliche Änderungen der rechtlichen oder tatsächlichen Rahmenbedingungen eines Drittlandtransfers, die das Schutzniveau berühren, und ermöglicht erforderlichenfalls die Aussetzung oder Beendigung des betroffenen Transfers.
(1) Für die Haftung im Verhältnis zu betroffenen Personen gilt Art. 82 DSGVO. Verantwortlicher und Auftragsverarbeiter haften nach Maßgabe des Art. 82 Abs. 2–5 DSGVO. Der Auftragsverarbeiter haftet gegenüber der betroffenen Person nur, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung bzw. entgegen den rechtmäßigen Weisungen des Verantwortlichen gehandelt hat (Art. 82 Abs. 2 Satz 2 DSGVO).
(2) Innenausgleich. Hat eine Partei vollen Schadensersatz an eine betroffene Person geleistet, kann sie von der anderen Partei den Anteil zurückfordern, der deren Verantwortungsbeitrag entspricht (Art. 82 Abs. 5 DSGVO). Maßgeblich ist der jeweilige Anteil am Verschulden bzw. am Verursachungsbeitrag.
(3) Freistellung. Der Verantwortliche stellt den Auftragsverarbeiter von Ansprüchen Dritter frei, die darauf beruhen, dass der Verantwortliche keine Rechtsgrundlage für die Verarbeitung hatte, gegen Informationspflichten verstoßen hat oder rechtswidrige Weisungen erteilt hat, jeweils nur in dem Umfang, in dem der haftungsbegründende Umstand dem Verantwortlichen zuzurechnen ist und den Auftragsverarbeiter kein eigenes Verschulden trifft. Spiegelbildlich stellt der Auftragsverarbeiter den Verantwortlichen von Ansprüchen frei, soweit der Schaden auf einer schuldhaften Verletzung der speziell den Auftragsverarbeiter treffenden Pflichten beruht. Eine darüber hinausgehende, verschuldensunabhängige formularmäßige Freistellung wird nicht vereinbart; die Grenzen der Inhaltskontrolle (§ 307 BGB) bei AGB-mäßiger Einbeziehung bleiben unberührt.
(4) Bußgelder. Behördliche Bußgelder nach Art. 83 DSGVO trägt die Partei, der der zugrundeliegende Verstoß zuzurechnen ist.
(5) Haftungsbegrenzung im Innenverhältnis. Eine etwaige Begrenzung der Haftung im Innenverhältnis der Parteien richtet sich nach dem Hauptvertrag. Eine solche Begrenzung unterschreitet nicht die zwingende Außenhaftung nach Art. 82 DSGVO und lässt die in § 9 Abs. 5 zugesagte unveränderte Weiterhaftung des Auftragsverarbeiters für Pflichtverletzungen seiner Sub-Auftragsverarbeiter (Art. 28 Abs. 4 DSGVO) unberührt. Ausgenommen von jeder Haftungsbegrenzung bleiben ferner Vorsatz, grobe Fahrlässigkeit, die Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) sowie Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. (Konkrete Haftungshöchstsummen und etwaige D&O-/Cyber-Versicherungen: [PLATZHALTER: Versicherungen/Haftungscap aus Hauptvertrag].)
(1) Annahme im Onboarding/Settings. Dieser AVV wird dem Verantwortlichen im Rahmen des Brand-Onboardings bzw. in den Organisations-Einstellungen (Settings) der Plattform elektronisch zur Annahme bereitgestellt. Die Annahme erfolgt durch eine ausdrückliche Zustimmungshandlung (z. B. Bestätigung mit Häkchen/„Annehmen"-Schaltfläche) einer vertretungsberechtigten oder hierzu bevollmächtigten Person der Brand-Org. Der Zeitpunkt der Annahme und die angenommene Version werden protokolliert. Die elektronische Form genügt Art. 28 Abs. 9 DSGVO.
(2) Laufzeit. Der AVV gilt für die Dauer des Hauptvertrags und endet automatisch mit dessen Beendigung, unbeschadet der nachvertraglichen Pflichten (insbesondere §§ 7, 12).
(3) Außerordentliche Kündigung. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt; ein wichtiger Grund liegt insbesondere bei den in §§ 9 Abs. 4 und 13 Abs. 8 genannten Fällen vor.
(4) Versionierung. Änderungen dieses AVV, die aufgrund geänderter Rechtslage, neuer Sub-Auftragsverarbeiter oder geänderter TOM erforderlich werden, teilt der Auftragsverarbeiter dem Verantwortlichen unter Angabe der neuen Version (policyVersion) mit. Wesentliche, den Verantwortlichen belastende Änderungen werden nur mit dessen Zustimmung wirksam.
(1) Vorrang. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor. Die Anlagen 1–3 sind Bestandteil dieses AVV.
(2) Schriftform/Textform. Änderungen und Ergänzungen dieses AVV bedürfen mindestens der Textform (§ 126b BGB); dies gilt auch für die Aufhebung dieses Textformerfordernisses. Individuelle Vertragsabreden haben Vorrang (§ 305b BGB).
(3) Salvatorische Klausel. Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung treten die gesetzlichen Vorschriften (§ 306 Abs. 2 BGB); eine geltungserhaltende Reduktion unwirksamer Klauseln auf das gerade noch zulässige Maß findet nicht statt. (Diese Fassung ist auf eine AGB-mäßige Einbeziehung des AVV ausgerichtet und verzichtet bewusst auf eine Ersetzungs-/Reduktionsanordnung, die in AGB nach § 306 BGB unwirksam wäre; die abschließende Bewertung der §§ 305 ff. BGB bleibt anwaltlich zu prüfen.)
(4) Rechtswahl und Gerichtsstand. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts; Gerichtsstand ist, soweit zulässig, [PLATZHALTER: Sitz des Auftragsverarbeiters]. Zwingende Verbraucherschutzvorschriften und zwingendes Datenschutzrecht bleiben unberührt.
(5) Dieser AVV ersetzt etwaige zuvor zwischen den Parteien getroffene Vereinbarungen über die Auftragsverarbeitung.
A. Gegenstand und Dauer. Bereitstellung der SaaS-Plattform Collavo zur Durchführung von Creator-Operations/Kampagnen; Dauer = Laufzeit des Hauptvertrags zzgl. nachvertraglicher Lösch-/Aufbewahrungsfristen.
B. Art und Zweck der Verarbeitung. siehe § 3 Abs. 2 und 3 (Kampagnenmanagement, Creator-Discovery/Marktplatz, Asset-Review, rechte-bewusstes Publishing, Insights, Messaging, Analytics, KI-Unterstützung mit menschlicher Freigabe, transaktionale Benachrichtigungen).
C. Datenarten.
| Datenkategorie | Beispiele | Speicherort (abgeleitet) |
|---|---|---|
| Kampagnendaten | Briefings, Tasks, Status, Freigaben, Budgets/Konditionen | Neon Postgres |
| Creator-Profil-/Kontaktdaten | Name, Handle, Profilbild, Kategorie, Sprache, Land, Kontakt | Neon Postgres |
| Assets | Bilder/Videos, Metadaten, Versionen | Cloudflare R2 (signierte URLs) |
| Insights-/Audience-Daten | Reichweite, Engagement, Audience-Demografie | Neon Postgres / API-Bezug Meta, TikTok, YouTube |
| Messaging-/Chat-Inhalte | Nachrichten, Anhänge, Zeitstempel | Neon Postgres |
| Rechte-/Lizenzdaten | Nutzungsarten, Territorien, Exklusivität, Laufzeit | Neon Postgres |
| Nutzungs-/Protokolldaten | Bearbeitungs-/Freigabehistorie | Neon Postgres / Sentry (Monitoring) |
D. Kategorien betroffener Personen. siehe § 4 Abs. 3 (Creator und Teams, Nutzer:innen des Verantwortlichen, Agentur-Nutzer:innen, in Assets abgebildete Dritte, Messaging-Teilnehmer:innen, Audience-/Follower-Personen).
E. Besondere Kategorien (Art. 9 DSGVO). Nicht gezielter Gegenstand des Auftrags; ein mittelbarer Bezug zu besonderen Kategorien in Assets, Messaging-Inhalten oder Audience-/Demografiedaten ist jedoch nicht ausschließbar (vgl. § 4 Abs. 2). Die Verantwortung für die Rechtmäßigkeit der Inhalte liegt beim Verantwortlichen; der Auftragsverarbeiter sichert sie durch die TOM nach Anlage 2 ab. (Zu verifizieren.)
(Anlage 1 aus Architektur abgeleitet — vom Betreiber zu verifizieren und ggf. um konkrete Felder/Speicherfristen zu ergänzen.)
Hinweis: Die nachfolgenden Maßnahmen sind aus der Architektur abgeleitet und vor Veröffentlichung vom Betreiber zu verifizieren/ergänzen (insbesondere um Zertifikate, Rechenzentrumsstandorte, konkrete Backup-/Wiederherstellungs- und Schulungskonzepte).
1. Vertraulichkeit.
better_auth), Google-OAuth; rollenbasierte Rechte.organizationId; rollenbasierte Berechtigungen; Least-Privilege.CreatorTaxData).2. Integrität.
assertWerbekennzeichnungPresent); Override nur mit dokumentierter Bestätigung (acknowledgedUWG5a).3. Verfügbarkeit und Belastbarkeit.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung.
5. Spezifische Maßnahmen.
requiresConfirmation); keine ausschließlich automatisierte Einzelentscheidung mit Rechtswirkung (Art. 22 DSGVO).Hinweis: Liste aus Architektur abgeleitet; Sitz/Transfer und DPF-Status je Dienst vom Betreiber vor Veröffentlichung zu verifizieren. Spalte „Schutzmechanismus" ist je nach verifiziertem Sitz (EU/EWR, Angemessenheitsbeschluss/DPF, SCC+TIA) zu finalisieren.
Trennscharfe Rollenzuordnung (Auflösung des Verhältnisses zu § 2 Abs. 3). Die Spalte „Rolle/Datenfluss" ordnet jeden Dienst der jeweils maßgeblichen Verarbeitung zu. Nur Dienste mit der Kennzeichnung „Sub-AV (weisungsgebunden)" verarbeiten unter diesem AVV im Auftrag des Verantwortlichen. Dienste, die (auch) der Eigen-Verantwortlichkeit des Auftragsverarbeiters nach § 2 Abs. 3 dienen, sind insoweit keine weisungsgebundenen Sub-Auftragsverarbeiter; für deren eigenverantwortliche Datenflüsse gilt die Datenschutzerklärung von Collavo und — soweit Drittlandtransfer — eine eigene Transfergrundlage im Verhältnis Collavo ↔ Dienst.
| Sub-Auftragsverarbeiter | Zweck / Datenfluss | Rolle/Datenfluss | Sitz/Transfer (abgeleitet) | Schutzmechanismus |
|---|---|---|---|---|
| Neon | Postgres-Datenbank (Stamm-, Kampagnen-, Messaging-, Insights-Daten) | Sub-AV (weisungsgebunden) | EU-Region wählbar — prüfen | EU/EWR bzw. SCC+TIA |
| Vercel | Web-Hosting (Next.js) | Sub-AV (weisungsgebunden) | USA — prüfen | SCC+TIA / ggf. DPF |
| Railway | API-Hosting (NestJS) + Redis | Sub-AV (weisungsgebunden) | prüfen | EU/EWR bzw. SCC+TIA |
| Cloudflare R2 | Asset-Objektspeicher, signierte URLs | Sub-AV (weisungsgebunden) | USA/global — prüfen | SCC+TIA / ggf. DPF |
| OpenAI | KI: Caption-/Hashtag-/Brief-Generierung, RAG-Chat-Assistent (im Auftrag) | Sub-AV (weisungsgebunden) | USA — prüfen | SCC+TIA / ggf. DPF |
| SendGrid | Transaktionale E-Mail (kampagnenbezogen) | Sub-AV (weisungsgebunden) | USA — prüfen | SCC+TIA / ggf. DPF |
| Expo | Mobile Build/Update, Push (kampagnenbezogen) |
CreatorTaxDataFür die unter lit. a–e genannten Verarbeitungen gilt die gesonderte Datenschutzerklärung von Collavo; sie sind nicht Gegenstand der Weisungsbindung dieses AVV. (Rollenabgrenzung aus Architektur abgeleitet — vom Betreiber und der beauftragten Kanzlei zu verifizieren; ggf. ergänzend eine Vereinbarung über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO für einzelne Verarbeitungen prüfen, etwa bei gemeinsam genutzten Insights-/Audience-Daten der verbundenen Social-Media-Konten.)
(4) Begriffsbestimmungen. Die Begriffe „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter", „betroffene Person", „Verletzung des Schutzes personenbezogener Daten", „Aufsichtsbehörde", „Drittland" und „besondere Kategorien personenbezogener Daten" sind im Sinne der Art. 4 und 9 DSGVO zu verstehen. Plattformspezifische Begriffe:
organizationId).commissionBps(6) Nachweis. Auf Anforderung des Verantwortlichen legt der Auftragsverarbeiter den Sub-Auftragsverarbeiter-Vertrag in einer Form vor, die berechtigte Geschäftsgeheimnisse des Sub-Auftragsverarbeiters wahrt (z. B. mit Schwärzungen).
(7) Keine Sub-Auftragsverarbeitung sind Nebenleistungen, die der Auftragsverarbeiter als reine Annexleistung in Anspruch nimmt (z. B. Telekommunikations-, Wartungs- oder reine Reinigungsleistungen ohne Bezug zu personenbezogenen Daten des Verantwortlichen). Für diese trägt der Auftragsverarbeiter durch angemessene Vereinbarungen Sorge, dass der Datenschutz gewahrt bleibt.
(6) Sub-Auftragsverarbeiter. Der Auftragsverarbeiter veranlasst, dass jeder Sub-Auftragsverarbeiter die Pflichten aus diesem Paragraphen entsprechend erfüllt, und legt die Löschnachweise auf Verlangen vor.
(8) Eskalation. Werden wesentliche Pflichtverletzungen festgestellt, die der Auftragsverarbeiter trotz angemessener Frist nicht behebt, ist der Verantwortliche zur außerordentlichen Kündigung des Hauptvertrags und dieses AVV berechtigt.
(9) Sub-Auftragsverarbeiter. Die Audit- und Kontrollrechte erstrecken sich entsprechend auf die Sub-Auftragsverarbeiter; der Auftragsverarbeiter stellt durch die mit ihnen geschlossenen Verträge sicher, dass entsprechende Prüfungen ermöglicht werden.
| Sub-AV (weisungsgebunden) |
| prüfen |
| EU/EWR bzw. SCC+TIA |
| Dienst | Zweck / Datenfluss | Rolle/Datenfluss | Sitz/Transfer (abgeleitet) | Schutzmechanismus |
|---|---|---|---|---|
| Stripe | Zahlungen, Escrow, Creator-Auszahlungen (Connected Accounts), KYC | Eigenständig Verantwortlicher für Payment/KYC (rechtlich überwiegende Einordnung — vorbehaltlich anwaltlicher Bestätigung); insoweit keine weisungsgebundene Auftragsverarbeitung | USA — prüfen | Eigene Transfergrundlage Collavo ↔ Stripe (SCC/DPF); aufsichtsrechtliche Einordnung [PLATZHALTER] (§ 2 Abs. 3 lit. b) |
| Sentry | Fehler-Monitoring | Gemischt: Sub-AV (weisungsgebunden) für auftragsbezogene Fehler-/Diagnosedaten; eigenverantwortlich für Plattformsicherheit/Missbrauchsprävention (§ 2 Abs. 3 lit. d) | prüfen | EU/EWR bzw. SCC+TIA |
| Meta / Instagram (Graph API) | Publishing + Insights | Rolle gesondert zu klären: für Insights/Publishing regelmäßig eigenständige bzw. gemeinsame Verantwortlichkeit (Art. 26 DSGVO); weisungsgebundene AV nur, soweit reine Weisungsausführung | USA — prüfen | SCC+TIA / ggf. DPF; ggf. Art.-26-Vereinbarung |
| TikTok | Publishing + Insights | Rolle gesondert zu klären (wie Meta) | prüfen (CN/SG/US) | SCC+TIA, ggf. zusätzliche Maßnahmen; ggf. Art.-26-Vereinbarung |
| Google / YouTube | Publishing + Insights; Google-Login | Publishing/Insights wie Meta gesondert zu klären; Google-Login eigenverantwortlich (§ 2 Abs. 3 lit. a) | USA — prüfen | SCC+TIA / ggf. DPF; ggf. Art.-26-Vereinbarung |
(Die in Tabelle B vorgenommene Rollenzuordnung — insbesondere Stripe als eigenständig Verantwortlicher sowie die Publishing-/Insights-Schnittstellen von Meta/TikTok/YouTube — ist rechtlich gesondert zu bestätigen; für die nicht weisungsgebundenen Datenflüsse sind ggf. eigenständige Verantwortlichkeits- oder Joint-Controller-Konstellationen (Art. 26 DSGVO) sowie eigene Transfergrundlagen einschlägig. Die endgültige Festlegung des Rollenmodells bleibt der Anwaltsprüfung vorbehalten.)