Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Stand: Dezember 2025
Präambel
Dieser Auftragsverarbeitungsvertrag („AVV") regelt die Verarbeitung personenbezogener Daten durch die BG Online Media (haftungsbeschränkt) („Auftragsverarbeiter") im Auftrag des Kunden („Verantwortlicher") im Rahmen der Nutzung der Plattform Struktora.
Dieser AVV wird Bestandteil des Hauptvertrags (Allgemeine Geschäftsbedingungen) und gilt automatisch mit dessen Abschluss als vereinbart.
Auftragsverarbeiter:
BG Online Media (haftungsbeschränkt)
Grünwiesenstraße 33
74321 Bietigheim-Bissingen
Deutschland
E-Mail: support@struktora.com
Geschäftsführer: Bernd Galter
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform Struktora zur KI-gestützten Texterstellung.
(2) Die Verarbeitung beginnt mit der Registrierung des Verantwortlichen und endet mit der vollständigen Löschung des Accounts und aller zugehörigen Daten.
(3) Die Art der Verarbeitung umfasst:
- Erhebung und Speicherung von Account-Daten
- Verarbeitung von Nutzungsdaten
- Temporäre Verarbeitung von Eingabedaten zur KI-Textgenerierung
- Übermittlung an Unterauftragsverarbeiter gemäß § 7
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung dient folgenden Zwecken:
| Zweck | Beschreibung |
|---|---|
| Account-Verwaltung | Registrierung, Authentifizierung, Profilverwaltung |
| Leistungserbringung | Bereitstellung der KI-Workflows und Textgenerierung |
| Abrechnung | Verwaltung von Abonnements und Zahlungen |
| Support | Bearbeitung von Kundenanfragen |
| Sicherheit | Schutz vor Missbrauch und Gewährleistung der IT-Sicherheit |
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
Bestandsdaten:
- Name
- E-Mail-Adresse
- Unternehmenszugehörigkeit (falls angegeben)
Nutzungsdaten:
- Zeitpunkt und Dauer der Nutzung
- Genutzte Funktionen
- Anzahl der Generierungen
Technische Daten:
- IP-Adresse (gekürzt/pseudonymisiert, soweit technisch möglich)
- Browsertyp und -version
- Betriebssystem
- Gerätetyp
Inhaltsdaten:
- Eingaben in KI-Workflows (keine dauerhafte Speicherung über die zur Leistungserbringung technisch notwendige Dauer hinaus)
- Generierte Texte (keine Speicherung zu eigenen Zwecken des Auftragsverarbeiters)
§ 4 Kategorien betroffener Personen
Von der Verarbeitung betroffen sind:
- Mitarbeiter des Verantwortlichen, die die Plattform nutzen
- Vom Verantwortlichen autorisierte Nutzer (Team-Mitglieder)
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Rechtsvorschriften zur Verarbeitung verpflichtet. Die Weisungen erfolgen grundsätzlich in Textform.
(2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
(3) Der Auftragsverarbeiter trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe § 6).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO, insbesondere bei:
- Sicherheit der Verarbeitung
- Meldung von Datenschutzverletzungen
- Datenschutz-Folgenabschätzungen
(5) Der Auftragsverarbeiter löscht nach Beendigung der Verarbeitung alle personenbezogenen Daten, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
(6) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter hat folgende Maßnahmen implementiert:
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle:
- Serverinfrastruktur bei zertifizierten Rechenzentren (ISO 27001)
- Kein physischer Zutritt durch Auftragsverarbeiter erforderlich
Zugangskontrolle:
- Passwortgeschützte Benutzerkonten
- Sichere Passwort-Hashing-Verfahren
- Optionale Zwei-Faktor-Authentifizierung
- Automatische Session-Timeouts
Zugriffskontrolle:
- Rollenbasiertes Berechtigungskonzept
- Protokollierung von Zugriffen
- Prinzip der minimalen Berechtigung
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle:
- TLS/SSL-Verschlüsselung aller Datenübertragungen
- Verschlüsselte API-Kommunikation
Eingabekontrolle:
- Protokollierung von Datenänderungen
- Versionierung kritischer Daten
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle:
- Regelmäßige Backups
- Redundante Serverinfrastruktur
- Monitoring und Alerting
Wiederherstellbarkeit:
- Dokumentierte Wiederherstellungsprozesse
- Regelmäßige Tests der Backup-Systeme
Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige Sicherheitsupdates
- Überprüfung der Zugriffsberechtigungen
- Aktualisierung der TOMs bei Bedarf
§ 7 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf Unterauftragsverarbeiter. Der Verantwortliche kann innerhalb einer angemessenen Frist (mindestens 14 Tage) Einspruch erheben.
(3) Folgende Unterauftragsverarbeiter werden eingesetzt:
| Unterauftragsverarbeiter | Zweck | Standort | DPA |
|---|---|---|---|
| Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA | Hosting, Analytics | Primär EU, ggf. Drittland (USA), abgesichert durch SCC | DPA |
| Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992 | Authentifizierung, Datenbank | Frankfurt (EU), ggf. Drittland, abgesichert durch SCC | DPA |
| Microsoft Ireland Operations Limited, Dublin, Ireland | KI-Verarbeitung (Azure OpenAI) | Sweden Central (EU) | DPA |
| Lemon Squeezy, LLC, 222 South Main Street, Salt Lake City, UT 84101, USA | Zahlungsabwicklung | Drittland (USA), abgesichert durch SCC | DPA |
(4) Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragsverarbeitern Verträge geschlossen sind, die mindestens den Datenschutzanforderungen dieses AVV entsprechen.
§ 8 Unterstützungspflichten
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15-22 DSGVO) durch:
- Bereitstellung von Exportfunktionen
- Löschung von Daten auf Anfrage
- Auskunft über gespeicherte Daten
(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, über Datenschutzverletzungen, die die Daten des Verantwortlichen betreffen.
§ 9 Löschung und Rückgabe von Daten
(1) Nach Beendigung des Vertragsverhältnisses löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten bestehen.
(2) Auf Wunsch des Verantwortlichen kann vor der Löschung ein Export der Daten erfolgen.
(3) Rechnungsdaten werden aufgrund steuerrechtlicher Vorschriften für 10 Jahre aufbewahrt.
§ 10 Nachweispflichten und Audits
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(2) Der Auftragsverarbeiter ermöglicht Überprüfungen durch den Verantwortlichen oder einen beauftragten Prüfer. Die Kosten trägt der Verantwortliche, sofern kein Verstoß des Auftragsverarbeiters festgestellt wird. Eine Ankündigung muss mindestens 14 Tage im Voraus erfolgen.
(3) Alternativ kann der Nachweis durch Vorlage aktueller Zertifizierungen oder Audit-Berichte der Unterauftragsverarbeiter erfolgen.
§ 11 Haftung
Die Haftung richtet sich nach Art. 82 DSGVO sowie den Regelungen in den Allgemeinen Geschäftsbedingungen.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
Kontakt
Bei Fragen zu diesem AVV wende dich an:
BG Online Media (haftungsbeschränkt)
E-Mail: support@struktora.com