Auftragsverarbeitungsvertrag (AVV)

1. Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung der SaaS-Plattform Shinra Metrics und der vereinbarten Leistungen. Die Verarbeitung beginnt, wenn der Verantwortliche den jeweiligen Workspace, eine Kampagne, einen Test, eine Demo oder einen kostenpflichtigen Tarif aktiviert, und endet mit dem Ende der Dienstbeziehung, sofern nicht vorherige Löschung oder Rückgabe erforderlich ist.

2. Art, Zweck und Kategorien

Art: Hosting, Speicherung, Abruf, Analyse, Transkription, KI-gestützte Auswertung, Anzeige, Export und Übermittlung personenbezogener Daten in Verbindung mit Social- Media-Konten, Kampagnen, Links und Livestreams.

Zweck: Bereitstellung von Dashboards, Analysen, Freigaben, Link-Tracking, Livestream-Clipping, Reports, Exporten und verwandten Funktionen nach Wahl des Verantwortlichen.

Betroffenenkategorien: Nutzer und Teammitglieder des Verantwortlichen, verbundene Kontoinhaber, Creator, Kampagnenteilnehmer sowie Zielgruppen, deren Metriken oder Interaktionen verarbeitet werden.

Datenkategorien: Kontokennungen, Profildaten, Engagement-Metriken, Content-Metadaten, Kommentare, Link-Klickdaten, Kampagnen-Review-Daten, Clips, Thumbnails, Transkripte, technische und Nutzungsdaten, Abrechnungsreferenzen sowie, soweit KI oder Visual Intelligence aktiviert ist, visuelle Inhalte und abgeleitete Tags.

3. Pflichten des Verantwortlichen

• Sicherstellen, dass für personenbezogene Daten, die hochgeladen, verbunden oder zur Verarbeitung angewiesen werden, eine gültige Rechtsgrundlage sowie erforderliche Hinweise, Berechtigungen und Creator-Autorisierungen vorliegen.
• Den Dienst nur in Übereinstimmung mit Datenschutz-, Plattform- und Kampagnenrecht nutzen.
• Dokumentierte Weisungen über Vertrag, Produkteinstellungen, Supportanfragen oder andere schriftliche Weisungen erteilen.

4. Pflichten des Auftragsverarbeiters

• Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern nicht EU- oder Mitgliedstaatenrecht anderes verlangt.
• Sicherstellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind.
• Geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO umsetzen.
• Den Verantwortlichen bei Betroffenenanfragen und Pflichten nach Art. 32-36 DSGVO unterstützen.
• Den Verantwortlichen unverzüglich informieren, wenn eine Verletzung des Schutzes personenbezogener Daten bekannt wird.
• Nach Ende der Leistungserbringung nach Wahl des Verantwortlichen personenbezogene Daten löschen oder zurückgeben und Kopien löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind, und Prüfungen ermöglichen.
• Den Verantwortlichen unverzüglich informieren, wenn eine Weisung nach Auffassung des Auftragsverarbeiters gegen die DSGVO oder anderes Datenschutzrecht der EU oder eines Mitgliedstaats verstößt.

5. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung der unter shinra-metrics.com/de/subprocessors gelisteten Unterauftragsverarbeiter. Der Auftragsverarbeiter teilt beabsichtigte Änderungen mindestens 15 Tage im Voraus mit und gibt dem Verantwortlichen Gelegenheit zum Widerspruch aus angemessenen Datenschutzgründen. Für echte Unterauftragsverarbeiter bleibt der Auftragsverarbeiter voll verantwortlich. Verbundene Social-Plattformen können je nach Funktion und Autorisierungsflow eigenständige Verantwortliche oder separate Plattformanbieter sein.

6. Internationale Datenübermittlungen

Soweit personenbezogene Daten außerhalb des EWR übermittelt werden, nutzt der Auftragsverarbeiter geeignete Garantien nach Art. 46 DSGVO, typischerweise Standardvertragsklauseln der EU-Kommission von 2021, das UK International Data Transfer Addendum, soweit anwendbar, und das EU-US Data Privacy Framework, soweit anwendbar.

7. Technische und organisatorische Maßnahmen

• Verschlüsselung personenbezogener Daten bei Übertragung und Speicherung.
• Rollenbasierte Zugriffskontrolle, Least-Privilege-Prinzip und widerrufbare API-Zugriffstokens.
• Protokollierung und Monitoring von Zugriffen auf Produktionssysteme.
• Regelmäßige Backups und Wiederherstellungsverfahren.
• Sicherheitsbewusstsein für Mitarbeitende mit Produktionszugriff.
• Getrennte Entwicklungs-, Staging- und Produktionsumgebungen.
• Datenminimierung und Pseudonymisierung, soweit technisch möglich.

8. Prüfrechte

Der Verantwortliche kann nach 30 Tagen schriftlicher Vorankündigung und höchstens einmal pro Kalenderjahr eine Prüfung der Einhaltung dieses AVV verlangen. Prüfungen erfolgen während üblicher Geschäftszeiten, dürfen den Betrieb nicht unangemessen stören und müssen die Vertraulichkeit anderer Kundendaten wahren. Statt einer Vor-Ort-Prüfung kann der Auftragsverarbeiter vorhandene Prüfberichte, Sicherheitszusammenfassungen, Anbieterunterlagen oder schriftliche Antworten bereitstellen, soweit diese die Einhaltung angemessen nachweisen.

9. Haftung

Die Haftung der Parteien aus diesem AVV richtet sich nach den Haftungsregelungen in den zugrunde liegenden Nutzungsbedingungen, ohne zwingende Haftung nach DSGVO zu beschränken.

10. Abschluss

Durch den Abschluss der zugrunde liegenden Nutzungsbedingungen und die Verarbeitung personenbezogener Daten Dritter über Shinra Metrics akzeptiert der Verantwortliche diesen AVV ohne weitere Unterschrift. Eine gegengezeichnete PDF-Version ist auf Anfrage per E-Mail an info@ciberdime.com erhältlich.

11. Kontakt