Vertrag zur Auftragsverarbeitung
gemäß Art. 28 DSGVO – für die Nutzung des Dienstes Marven. Stand: Juni 2026.
Dieses Dokument bildet den Auftragsverarbeitungsvertrag (AVV) zwischen Ihnen als Kundin/Kunde
(nachfolgend „Verantwortliche/r“) und der QUADRESS GmbH (nachfolgend „Auftragsverarbeiterin“) ab. Es wird mit
Abschluss des Nutzungsvertrags über Marven einbezogen. Die mit […]
gekennzeichneten Felder werden bei Vertragsschluss durch die Angaben der/des Verantwortlichen ausgefüllt.
Vertragsparteien
Verantwortliche/r: [Firma, Anschrift, vertreten durch …]
Auftragsverarbeiterin: QUADRESS GmbH, Sophie-Opel-Str. 17, 44803 Bochum, Deutschland,
vertreten durch den Geschäftsführer Daniel Simon.
§ 1 Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch die Auftragsverarbeiterin im Rahmen der
Bereitstellung des Dienstes Marven (Erstellung, Planung, Veröffentlichung und Auswertung von Social-Media-
Inhalten). Die Verarbeitung erfolgt ausschließlich auf Grundlage dieses Vertrags und der dokumentierten
Weisungen der/des Verantwortlichen. Die Dauer entspricht der Laufzeit des Nutzungsvertrags.
§ 2 Art, Umfang und Zweck; Datenarten; Betroffene
Zweck/Art der Verarbeitung: Erheben, Speichern, Verändern, Übermitteln (an die in Anlage 1 genannten Unterauftragsverarbeiter und an die von der/dem Verantwortlichen verbundenen sozialen Netzwerke), Löschen – zur Erbringung des Dienstes.
Arten personenbezogener Daten (typisch):
- Bestandsdaten (Name, E-Mail, Kontaktdaten von Nutzenden der/des Verantwortlichen);
- Inhaltsdaten (Texte, Bilder, Videos, Beitrags- und Kampagnendaten);
- Verbindungs- und Auswertungsdaten verbundener Social-Media-Konten (z. B. Reichweite, Interaktionen, Kommentare);
- Nutzungs- und Metadaten (Zeitpunkte, Status von Veröffentlichungen).
Kategorien betroffener Personen: Beschäftigte und Nutzende der/des Verantwortlichen, deren Kundinnen/Kunden und Interessenten sowie Personen, die mit den veröffentlichten Inhalten interagieren.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags; die/der Verantwortliche bringt solche nicht ein.
§ 3 Pflichten der Auftragsverarbeiterin
- Weisungsbindung: Verarbeitung nur auf dokumentierte Weisung. Hält die Auftragsverarbeiterin eine Weisung für rechtswidrig, informiert sie unverzüglich.
- Vertraulichkeit: Zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet bzw. unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht.
- Sicherheit: Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (Anlage 2).
- Unterauftrag: Einsatz weiterer Auftragsverarbeiter nur nach Maßgabe von § 4.
- Unterstützung: Angemessene Unterstützung der/des Verantwortlichen bei Betroffenenanfragen (Art. 12–23) sowie bei Pflichten nach Art. 32–36 DSGVO.
- Meldung von Verletzungen: Unverzügliche Information bei Verletzungen des Schutzes personenbezogener Daten, mit den verfügbaren Angaben zur Unterstützung der Meldepflichten (Art. 33, 34).
- Löschung/Rückgabe: Nach Abschluss der Leistung Löschung oder Rückgabe der Daten nach Wahl der/des Verantwortlichen, soweit keine gesetzliche Aufbewahrungspflicht besteht.
- Nachweise/Audit: Bereitstellung der zum Nachweis erforderlichen Informationen sowie Ermöglichung von Überprüfungen in angemessenem Rahmen.
- Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist benannt (siehe Impressum / Datenschutzerklärung).
§ 4 Unterauftragsverarbeiter
Die/der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 1
genannten Unterauftragsverarbeiter. Die Auftragsverarbeiterin informiert über beabsichtigte Änderungen
(Hinzuziehung/Austausch) und räumt ein Widerspruchsrecht aus wichtigem Grund ein. Mit jedem
Unterauftragsverarbeiter werden im Wesentlichen gleichwertige Datenschutzpflichten vereinbart. Erfolgt eine
Übermittlung in ein Drittland, wird diese durch geeignete Garantien nach Kapitel V DSGVO abgesichert
(insbesondere EU-Standardvertragsklauseln und – soweit zertifiziert – EU-US Data Privacy Framework).
§ 5 Rechte und Pflichten der/des Verantwortlichen
Die/der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte
verantwortlich und erteilt Weisungen grundsätzlich in Textform bzw. über die Funktionen des Dienstes.
§ 6 Schlussbestimmungen
Bei Widersprüchen geht dieser AVV den Regelungen des Nutzungsvertrags in datenschutzrechtlichen Fragen vor.
Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.
Anlage 1 – Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Leistung | Ort der Verarbeitung |
|---|
| Hetzner Online GmbH | Hosting / Serverbetrieb | EU (Deutschland) |
| Bundle.social | Veröffentlichung auf sozialen Netzwerken, Auswertungen | ggf. Drittland (SCC) |
| Anthropic (Claude) | KI-Texterstellung | USA / Drittland (SCC/DPF) |
| OpenAI | KI-Bilder und Sprachausgabe | USA / Drittland (SCC/DPF) |
| fal.ai | KI-Video, -Banner, -Musik | USA / Drittland (SCC/DPF) |
| HeyGen | KI-Avatar-Videos (optional) | USA / Drittland (SCC/DPF) |
| Resend | Versand von System-E-Mails | USA / Drittland (SCC/DPF) |
Optionale Dienste werden nur bei tatsächlicher Nutzung der jeweiligen Funktion herangezogen.
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Verschlüsselung: Transportverschlüsselung (TLS/HTTPS, HSTS); hinterlegte API-Schlüssel verschlüsselt at rest (AES-256-GCM).
- Zugangs-/Zugriffskontrolle: Konto-Anmeldung mit gehashten Passwörtern, Rollen-/Rechtekonzept (Mandanten-/Workspace-Trennung), automatische Abmeldung bei Inaktivität, Begrenzung von Anmeldeversuchen.
- Mandantentrennung: logische Trennung der Daten je Workspace; Zugriff nur auf eigene Projekte.
- Web-Sicherheit: striktes Content-Security-Policy, Schutz-Header (u. a. gegen Clickjacking), Prüfung von Fremd-URLs gegen SSRF.
- Verfügbarkeit/Wiederherstellbarkeit: automatische, rotierende Sicherungen kritischer Daten sowie Server-Backups/Snapshots des Hosting-Anbieters.
- Integrität/Protokollierung: Fehler-Monitoring mit Benachrichtigung; Verarbeitung nach dem Prinzip der Datenminimierung.
- Auftragskontrolle: Auftragsverarbeitungsverträge mit allen Unterauftragsverarbeitern.