Auftragsverarbeitungsvertrag (AVV)

⚠️ Diese Übersetzung wird zur Bequemlichkeit bereitgestellt. Die englische Version ist rechtlich bindend.

Version 1.0 · Stand: 29. April 2026 · Gültig ab: 29. April 2026

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der Nutzungsbedingungen zwischen [ENTITY_NAME] („Auftragsverarbeiter“, „wir“) und dem Kunden („Verantwortlicher“, „Sie“), der den LIA-Dienst nutzt. Er gilt, wenn der Verantwortliche im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich oder in der Schweiz niedergelassen ist, oder wenn die DSGVO extraterritorial auf die Verarbeitung des Verantwortlichen anwendbar ist.

1. Begriffsbestimmungen

Begriffe in diesem AVV haben die in der Verordnung (EU) 2016/679 („DSGVO“) festgelegte Bedeutung. „Personenbezogene Daten“ bezeichnen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

2. Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet Personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zum Zweck der Bereitstellung des LIA-Dienstes gemäß den Nutzungsbedingungen. Dieser AVV bleibt für die Dauer des Dienstvertrags und für alle nachfolgenden Aufbewahrungsfristen in Kraft.

3. Art und Zweck der Verarbeitung

Die Verarbeitung beschränkt sich auf die für die Bereitstellung des LIA-Dienstes erforderlichen Vorgänge:

Verwaltung von Benutzerkonten (Authentifizierung, Abrechnung)
An KI-Inferenzanbieter übermittelte Chat-Nachrichten
Bridge-Sitzungs-Telemetrie (DAW-Name, Version, Zeitstempel)
Kommunikation mit dem Kundensupport

4. Kategorien Personenbezogener Daten und betroffener Personen

Kategorien betroffener Personen: vom Verantwortlichen autorisierte Benutzer (Entwickler, Musiker, Auftragnehmer).

Kategorien Personenbezogener Daten: E-Mail-Adressen, gehashte Passwörter (Supabase Auth), Anzeigenamen, Zahlungsmetadaten (keine Kartendetails), Chat-Nachrichten, Nutzungsprotokolle, IP-Adressen (vor Speicherung gehasht).

5. Pflichten des Auftragsverarbeiters

Verarbeitung Personenbezogener Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich Übermittlungen in Drittländer (Art. 28 Abs. 3 lit. a DSGVO).
Sicherstellung, dass zur Verarbeitung Personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind.
Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen (Art. 32 DSGVO), siehe §9.
Inanspruchnahme von Sub-Auftragsverarbeitern nur mit vorheriger schriftlicher Genehmigung (siehe §8).
Unterstützung des Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Art. 15-22 DSGVO).
Unverzügliche Benachrichtigung des Verantwortlichen bei jeder Verletzung des Schutzes Personenbezogener Daten (Art. 33 DSGVO), siehe §10.
Nach Wahl des Verantwortlichen Löschung oder Rückgabe aller Personenbezogenen Daten nach Beendigung der Dienstleistungen (Art. 28 Abs. 3 lit. g DSGVO).
Bereitstellung aller zur Erbringung der Compliance-Nachweise erforderlichen Informationen und Ermöglichung von Audits (Art. 28 Abs. 3 lit. h DSGVO).

6. Pflichten des Verantwortlichen

Der Verantwortliche versichert, alle erforderlichen Rechtsgrundlagen (Art. 6 DSGVO) für die unter diesem AVV verarbeiteten Personenbezogenen Daten erlangt und die betroffenen Personen gemäß Art. 13/14 DSGVO informiert zu haben.

7. Internationale Datenübermittlungen

Der Dienst wird in der Europäischen Union gehostet (Frankfurt, Deutschland. Hostinger / supabase.com EU-Region). Personenbezogene Daten werden innerhalb des EWR verarbeitet. Wenn Sub-Auftragsverarbeiter Daten außerhalb des EWR verarbeiten (z. B. KI-Inferenzanbieter in den Vereinigten Staaten), werden Übermittlungen geregelt durch:

EU-US Data Privacy Framework (DPF), wenn der Empfänger zertifiziert ist;
Standardvertragsklauseln (SCC), Modul 2 (Verantwortlicher zu Auftragsverarbeiter), Beschluss EU 2021/914 der EU-Kommission von 2021.

Es werden keine Personenbezogenen Daten in Jurisdiktionen ohne EU-Angemessenheitsbeschluss oder geeignete Garantien übermittelt.

8. Sub-Auftragsverarbeiter

Der Verantwortliche ermächtigt den Auftragsverarbeiter zur Inanspruchnahme von Sub-Auftragsverarbeitern. Die aktuelle Liste der Sub-Auftragsverarbeiter ist verfügbar unter /api/legal/subprocessors (authentifizierter Endpunkt, Auskunftsrecht gemäß Art. 15 DSGVO). Der Auftragsverarbeiter benachrichtigt den Verantwortlichen über alle beabsichtigten Änderungen mindestens 30 Tage im Voraus, sodass der Verantwortliche angemessen Zeit hat, Einspruch zu erheben.

9. Sicherheitsmaßnahmen (Art. 32 DSGVO)

Verschlüsselung während der Übertragung: TLS 1.3 für gesamten Client-Server-Verkehr
Verschlüsselung im Ruhezustand: AES-256 für Datenbankspeicherung (verwaltet durch Supabase)
Zugangskontrolle: rollenbasiert, MFA für administrativen Zugriff
Netzwerkisolation: Dienste an Loopback oder Tailscale-Netzwerk gebunden, wo möglich (Defense-in-depth)
Protokollierung: Audit-Trail für alle administrativen Aktionen
Incident Response: dokumentiertes Runbook für Sicherheitsereignisse

10. Benachrichtigung über Verletzungen Personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich (und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme) über jede Verletzung, die unter diesem AVV verarbeitete Personenbezogene Daten betrifft. Die Benachrichtigung umfasst:

Art und ungefährer Umfang der Verletzung
Kategorien und ungefähre Anzahl der betroffenen Personen und betroffenen Datensätze
Ergriffene oder vorgeschlagene Maßnahmen zur Eindämmung der Verletzung
Kontaktdaten des Datenschutzbeauftragten für weitere Informationen

11. Beendigung

Bei Beendigung des Dienstvertrags und auf schriftliche Anforderung des Verantwortlichen löscht oder retourniert der Auftragsverarbeiter alle Personenbezogenen Daten. Sicherungskopien werden im nächsten normalen Backup-Rotationszyklus gelöscht (maximal 90 Tage).

12. Haftung

Die Haftung unter diesem AVV unterliegt den in den Nutzungsbedingungen festgelegten Beschränkungen, außer wenn solche Beschränkungen mit Art. 82 DSGVO (Recht auf Schadensersatz) in Konflikt stehen.

13. Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt dem Recht der Italienischen Republik. Zuständiges Gericht ist das Gericht des eingetragenen Sitzes des Verantwortlichen oder, wenn dieser außerhalb des EWR liegt, das Gericht von [SEDE_LEGALE], Italien.

14. Aufsichtsbehörde

Beschwerden zur Verarbeitung Ihrer Personenbezogenen Daten können bei der zuständigen Aufsichtsbehörde eingereicht werden. Für Deutschland: BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit), Graurheindorfer Str. 153, 53117 Bonn.

15. Kontakt

Für alle Angelegenheiten in Bezug auf diesen AVV: [email protected]