gemäß Art. 28 DSGVO
(1) Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien gemäß Art. 28 DSGVO im Rahmen der Beauftragung von Leistungen durch den Auftraggeber (nachfolgend „Verantwortlicher") an:
Oleksiy Shuman
Offenbacher Landstraße 252
60599 Frankfurt am Main
Deutschland
E-Mail: hi@ai-firma.de
Website: https://ai-firma.de
(nachfolgend „Auftragsverarbeiter").
(2) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieses AVV nicht darüber hinausgehende Verpflichtungen ergeben.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen folgender Leistungen:
Gegenstand der Verarbeitung können folgende Kategorien personenbezogener Daten sein:
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten dazu verpflichtet.
(2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 7).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO).
(5) Nach Abschluss der Auftragsverarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO).
(6) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen/Audits.
(1) Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzen (Art. 28 Abs. 2 DSGVO).
(2) Zum Zeitpunkt des Abschlusses dieses AVV setzt der Auftragsverarbeiter folgende Unterauftragsverarbeiter ein:
| Unternehmen | Leistung | Standort |
|---|---|---|
| Vercel Inc. | Webhosting (statische Website, Edge-CDN) | USA (DPF-zertifiziert + SCCs) |
| Hostinger International Ltd. | Hosting (Automatisierung, n8n) | Deutschland (Frankfurt) |
| Anthropic, PBC | KI-Sprachverarbeitung (API) | USA (SCCs) |
| OpenAI, LLC | KI-Sprachverarbeitung (API) | USA (SCCs) |
| Google Ireland Ltd. | Analytics, Maps/Places (nach Einwilligung) | Irland (EU) |
| Supabase Inc. | Datenbank / Backend | Frankfurt, DE (EU) |
(3) Bei einem Wechsel oder der Hinzuziehung weiterer Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig und räumt ihm ein Widerspruchsrecht ein.
Der Auftragsverarbeiter hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 Abs. 2 DSGVO).
(2) Die Meldung enthält mindestens:
(1) Soweit Unterauftragsverarbeiter in Drittländern (z.B. USA) eingesetzt werden, erfolgt die Datenübermittlung auf Grundlage von:
(2) Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragsverarbeitern in Drittländern geeignete Garantien vereinbart sind.
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
(2) Der Verantwortliche erteilt alle Weisungen bezüglich der Datenverarbeitung schriftlich oder in Textform (E-Mail genügt).
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
Die Haftung richtet sich nach Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für Schäden, die durch von ihr zu vertretende Verstöße gegen die DSGVO oder diesen AVV verursacht werden.
(1) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(2) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Frankfurt am Main.
Durch die Beauftragung von AI-Firma mit Leistungen, die eine Verarbeitung personenbezogener Daten umfassen, gilt dieser AVV als geschlossen. Für eine individuell unterzeichnete Fassung kontaktieren Sie uns unter:
Stand: April 2026 · Oleksiy Shuman | AI-Firma.de