Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO

Version 1.0 — Stand: März 2026

Zwischen

dem Kunden der "SofaSites" App (nachfolgend "Auftraggeber")

und

Dominik Britz, Veldio Systems, Gengesfeld 12, 51688 Wipperfürth (nachfolgend "Auftragnehmer")

1. Gegenstand und Dauer des Auftrags

  1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers.
  2. Gegenstand des Auftrags ist die Nutzung der Software "SofaSites" zur KI-gestützten Erstellung, Bearbeitung und Veröffentlichung von Unternehmenswebseiten.
  3. Die Dauer dieses Vertrags richtet sich nach der Laufzeit des Nutzungsvertrages (Account-Bestehen) der App.

2. Art und Zweck der Verarbeitung

Die Verarbeitung dient dem Zweck der automatisierten Erstellung und Pflege von Unternehmenswebseiten mittels KI-gestützter Textgenerierung, Bildgenerierung und Website-Optimierung. Die Verarbeitung umfasst folgende Tätigkeiten: Erheben, Speichern, Verändern (durch KI-Modelle), Übermitteln (an Unterauftragnehmer), Bereitstellen (Veröffentlichung der Website) und Löschen von Daten.

3. Art der Daten und Kreis der Betroffenen

  1. Art der Daten:
    • Kontaktdaten (Namen, Adressen, E-Mail-Adressen, Telefonnummern des Auftraggebers).
    • Geschäftsdaten (Firmenname, Branche, Dienstleistungen, Zielgruppe).
    • Bilddaten (hochgeladene Logos, Fotos; KI-generierte Bilder).
    • Inhaltsdaten (Texteingaben im Chat, generierte Website-Inhalte).
    • Nutzungsdaten (Chat-Verläufe, Bearbeitungshistorie).
  2. Kreis der Betroffenen:
    • Der Auftraggeber selbst (als Geschäftskunde und Website-Inhaber).
    • Besucher der erstellten Website (soweit Kontaktformulare oder Tracking eingesetzt werden — dies liegt in der Verantwortung des Auftraggebers).

4. Pflichten des Auftragnehmers (Veldio Systems)

  1. Der Auftragnehmer verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers (diese Weisung gilt durch die Nutzung der App-Funktionen, z.B. Absenden einer Chat-Nachricht oder Starten eines Website-Builds, als erteilt).
  2. Der Auftragnehmer sichert zu, dass alle mit der Verarbeitung betrauten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden.
  3. Der Auftragnehmer ergreift geeignete technische und organisatorische Maßnahmen (TOMs) gem. Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (z.B. Verschlüsselung der Übertragungswege, Zugriffskontrollen, regelmäßige Sicherheitsupdates).
  4. Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten (Datenpannen) zu informieren, damit der Auftraggeber seiner Meldepflicht gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO (72-Stunden-Frist) nachkommen kann. Die Meldung hat mindestens folgende Angaben zu enthalten: Art der Verletzung, betroffene Datenkategorien und -mengen, wahrscheinliche Folgen sowie ergriffene Maßnahmen.

5. Einsatz von Unterauftragnehmern

  1. Der Auftraggeber stimmt zu, dass der Auftragnehmer zur Erfüllung der Leistung weitere Unternehmen (Unterauftragnehmer) hinzuzieht.
  2. Aktuell eingesetzte Unterauftragnehmer sind:
    Hosting-Provider (API & Backend)
    Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Deutschland

    Funktion: Hosting des API-Servers und der Hintergrundprozesse (Website-Builds, Bildgenerierung)

    Datenbank, Authentifizierung & Dateispeicherung
    Supabase Inc. 970 Toa Payoh North #07-04, Singapore 318992 EU-Datenverarbeitung: AWS eu-central-1 (Frankfurt)

    Funktion: PostgreSQL-Datenbank, Benutzerauthentifizierung, Speicherung hochgeladener Bilder

    KI-Dienste
    Google Cloud EMEA Limited 70 Sir John Rogerson's Quay, Dublin 2, Irland
    Funktion:
    1. Vertex AI (Claude): KI-gestützte Website-Generierung und -Bearbeitung
    2. Vertex AI (Gemini): Chat-Assistent im Onboarding und Betrieb
    3. Vertex AI (Imagen): KI-Bildgenerierung für Website-Inhalte
    Website-Hosting & CDN
    Cloudflare Inc. 101 Townsend Street, San Francisco, CA 94107, USA EU-Vertreter: Cloudflare London Ltd, County Hall / The Riverside Building, Belvedere Road, London SE1 7PB, UK

    Funktion: Hosting der generierten Kundenwebseiten (Cloudflare Pages), DNS-Verwaltung, SSL/TLS-Verschlüsselung, Content Delivery Network

    Code-Verwaltung
    GitHub Inc. (Microsoft Corporation) 88 Colin P. Kelly Jr. Street, San Francisco, CA 94107, USA

    Funktion: Versionierte Speicherung des generierten Website-Quellcodes in privaten Repositories

    Domain-Registrierung
    Porkbun LLC 1945 NW Quimby St #526, Portland, OR 97209, USA

    Funktion: Registrierung und Verwaltung von Kundendomains

  3. Der Auftragnehmer stellt vertraglich sicher, dass bei diesen Unterauftragnehmern das Datenschutzniveau der DSGVO eingehalten wird (z.B. durch EU-Standardvertragsklauseln bei Anbietern außerhalb der EU, Angemessenheitsbeschlüsse oder vergleichbare Garantien).

5.3 Änderung von Unterauftragnehmern

Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor dem geplanten Einsatz eines neuen Unterauftragnehmers per E-Mail. Der Auftraggeber hat das Recht, innerhalb von 14 Tagen nach Zugang der Mitteilung Widerspruch einzulegen. Im Falle eines begründeten Widerspruchs bemüht sich der Auftragnehmer um eine alternative Lösung. Kann keine Einigung erzielt werden, hat der Auftraggeber das Recht, den Vertrag außerordentlich zu kündigen.

6. Rechte des Auftraggebers

Der Auftraggeber hat das Recht, Auskunft über die gespeicherten Daten zu verlangen sowie deren Berichtigung oder Löschung anzuweisen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6.3 Prüfrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung dieser Vereinbarung zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Der Auftragnehmer ermöglicht Überprüfungen — einschließlich Inspektionen — die vom Auftraggeber oder einem von ihm beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO).

6.4 Unterstützung bei Datenschutz-Folgenabschätzungen

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung seiner Pflichten gemäß Art. 35 und 36 DSGVO (Datenschutz-Folgenabschätzung und vorherige Konsultation).

7. Löschung von Daten

Nach Abschluss der vertraglichen Arbeiten oder auf Anforderung des Auftraggebers (z.B. Account-Löschung) hat der Auftragnehmer sämtliche personenbezogenen Daten zu löschen, sofern nicht gesetzliche Aufbewahrungspflichten bestehen. Dies umfasst insbesondere: Profildaten, Chat-Verläufe, generierte Website-Inhalte, hochgeladene Bilder sowie das zugehörige GitHub-Repository.

Nach Abschluss der Löschung stellt der Auftragnehmer dem Auftraggeber auf Anfrage eine schriftliche Bestätigung über die vollständige Löschung der personenbezogenen Daten aus (Löschbestätigung). Dies umfasst auch die Löschung aus Backup-Systemen und GitHub-Repositories.