Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO
zwischen
dem Auftraggeber (im Folgenden „Customer")
— und —
Felix Wilhelm, Königsbergerweg 12, 72379 Hechingen, Deutschland
Betreiber des SaaS-Dienstes 10xSocial
(im Folgenden „Auftragnehmer" oder „10xSocial")
§ 1 Gegenstand und Geltungsbereich
(1) Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der im Hauptvertrag (Nutzungsvertrag über den SaaS-Dienst 10xSocial) beschriebenen Auftragsverarbeitung ergeben.
(2) 10xSocial verarbeitet personenbezogene Daten im Auftrag des Customers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO für die automatisierte Erstellung, KI-gestützte Aufbereitung und Veröffentlichung von Social-Media-Inhalten auf den vom Customer ausgewählten Plattformen.
(3) Bei Widersprüchen zwischen Hauptvertrag und dieser AVV geht diese AVV in Bezug auf datenschutzrechtliche Regelungen vor.
§ 2 Begriffsbestimmungen
Die in dieser AVV verwendeten Begriffe entsprechen den Definitionen der DSGVO. Insbesondere:
- Auftraggeber = Customer (Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO).
- Auftragnehmer = Felix Wilhelm / 10xSocial (Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO).
- Verarbeitung = jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO).
- Betroffene Person = jede identifizierbare natürliche Person, deren Daten verarbeitet werden.
- Sub-Prozessor = ein vom Auftragnehmer eingebundener weiterer Auftragsverarbeiter im Sinne von Art. 28 Abs. 4 DSGVO.
§ 3 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand der Verarbeitung ist die Bereitstellung des SaaS-Dienstes 10xSocial gemäß Hauptvertrag.
(2) Die Verarbeitung beginnt mit dem Vertragsbeginn des Hauptvertrags und endet mit dessen Beendigung. Nach Beendigung des Hauptvertrags hat der Customer 30 Tage Zeit, alle gespeicherten Daten zu exportieren (Datenherausgabe). Anschließend werden die Daten gemäß § 9 dieser AVV gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
§ 4 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst insbesondere folgende Tätigkeiten:
- KI-Caption-Generierung: Erstellung von Beitragstexten mittels generativer KI-Modelle auf Basis von Customer-Inputs und Branchen-Profilen.
- Bild-Verarbeitung mit Branding: Empfang, Speicherung, Aufbereitung und ggf. KI-gestützte Modifikation von Bild- und Videodateien einschließlich Anwendung von Customer-Branding (Logo, Farben, Wasserzeichen).
- Multi-Plattform-Posting: Automatisierte Veröffentlichung der erzeugten Inhalte auf den vom Customer ausgewählten Social-Media-Plattformen über OAuth-Direktintegration oder über einen Multi-Channel-Relay.
- Bot-Kommunikation: Bereitstellung von Chatbot-Interaktionen über Telegram und WhatsApp Business für Inhaltseinreichung, Caption-Freigabe und Statusbenachrichtigungen.
- Account-Management: Benutzerregistrierung, Authentifizierung, Tenant-Verwaltung, Abrechnung über Zahlungsdienstleister.
§ 5 Art der Daten
Im Rahmen der Auftragsverarbeitung können folgende Datenarten verarbeitet werden:
- Account-Daten: Name, E-Mail-Adresse, gehashte Passwörter, Firmenangaben, Branchen-Zuordnung.
- Bot-Identifikatoren: Telegram-User-IDs, WhatsApp-Telefonnummern, Telegram-Usernamen.
- Medieninhalte: Hochgeladene Photos und Videos, ggf. mit erkennbaren Personen (Mitarbeiter, Kunden, Dritte).
- Customer-Inputs: Caption-Entwürfe, Hashtag-Vorschläge, Posting-Wünsche, Branding-Assets.
- OAuth-Tokens: Verschlüsselt gespeicherte Zugangstoken zu verbundenen Social-Media-Konten.
- Abrechnungsdaten: Stripe-Customer-ID, Subscription-IDs, Rechnungs-Metadaten (keine Kartendaten — diese verbleiben bei Stripe).
- Nutzungs- und Audit-Daten: Login-Zeitpunkte, IP-Adressen (gekürzt/pseudonymisiert in Logs), API-Aufrufe, Posting-Historie, Bot-Nachrichten-Log (MessageLog).
§ 6 Kategorien betroffener Personen
Von der Verarbeitung können betroffen sein:
- Mitarbeiter des Customers, die den Dienst aktiv nutzen (z. B. Inhaber, Marketing-Verantwortliche, Köche, Servicekräfte).
- Auf Bild- und Videoinhalten erkennbare Personen (z. B. abgebildete Mitarbeiter, Kunden, Gäste, Dritte).
- Endkunden des Customers, sofern diese mit dem Customer über die veröffentlichten Inhalte oder über Bot-Funktionen interagieren.
§ 7 Sub-Prozessoren
(1) Der Customer erteilt dem Auftragnehmer eine allgemeine Genehmigung zum Einsatz folgender Sub-Prozessoren:
| Sub-Prozessor | Sitz / Datenschutz-Grundlage | Zweck |
|---|---|---|
| Google Ireland Ltd (Google Gemini) | Dublin, Irland — EU; SCC für ggf. US-Transfers | KI-Caption-Generierung |
| OpenAI Ireland Ltd | Dublin, Irland — EU; SCC | KI-Bildgenerierung (Fallback) |
| Meta Platforms Ireland Ltd | Dublin, Irland — EU; SCC für ggf. US-Transfers | WhatsApp Cloud API, Instagram, Facebook, Threads |
| Telegram FZ-LLC | Dubai, VAE — Drittland; SCC + zusätzliche Garantien | Bot-Kommunikation Telegram |
| Google Ireland Ltd (GBP, YouTube) | Dublin, Irland — EU; SCC für ggf. US-Transfers | Google Business Profile, YouTube Shorts |
| TikTok Information Technologies UK Ltd | London, UK — Angemessenheitsbeschluss | TikTok-Posting |
| Pinterest Europe Ltd | Dublin, Irland — EU; SCC für ggf. US-Transfers | Pinterest-Posting |
| LinkedIn Ireland Unlimited Company | Dublin, Irland — EU; SCC für ggf. US-Transfers | LinkedIn-Posting |
| Snap Group Ltd | London, UK — Angemessenheitsbeschluss | Snapchat-Posting |
| Stripe Technology Europe Ltd | Dublin, Irland — EU; SCC für US-Transfers | Zahlungsabwicklung, Abonnement-Verwaltung |
| Hetzner Online GmbH | Gunzenhausen, Deutschland — EU | Hosting der Plattform-Infrastruktur |
(2) Der Auftragnehmer informiert den Customer rechtzeitig (mind. 30 Tage im Voraus) über beabsichtigte Änderungen bei den Sub-Prozessoren. Der Customer kann einer Änderung aus wichtigem datenschutzrechtlichen Grund widersprechen. Im Falle eines berechtigten Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht zu.
(3) Der Auftragnehmer stellt sicher, dass mit jedem Sub-Prozessor ein Vertrag mit datenschutzrechtlichen Pflichten geschlossen wird, die mindestens dem Schutzniveau dieser AVV entsprechen.
§ 8 Technische und organisatorische Maßnahmen (TOM)
Der Auftragnehmer trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Hierzu zählen insbesondere:
- Transportverschlüsselung: Sämtliche Kommunikation zwischen Client, API, Bots und Sub-Prozessoren erfolgt über TLS 1.2+.
- Verschlüsselung at-rest: Sensible Daten (insbesondere OAuth-Tokens, Refresh-Tokens) werden in der Datenbank verschlüsselt abgelegt. Backups sind verschlüsselt.
- Backup-Verschlüsselung: Tägliche verschlüsselte Backups, getrennte Aufbewahrung.
- Access-Control: Multi-Tenant-Trennung auf Anwendungs- und Datenbankebene (owner-scoped Queries), Role-Based Access Control, JWT-basierte Authentifizierung mit Access- und Refresh-Token, bcrypt-gehashte Passwörter.
- Audit-Logs: Auth-Events (Login, Logout, Passwortänderung, Account-Löschung) werden 365 Tage protokolliert. Bot- und Posting-Aktionen (MessageLog) werden 90 Tage protokolliert.
- Pseudonymisierung in Logs: IP-Adressen werden in Anwendungs-Logs gekürzt; personenbezogene Bezeichner werden, wo möglich, durch interne IDs ersetzt.
- Penetration-Tests: Jährliche externe Sicherheitsüberprüfung der Plattform.
- Trennungskontrolle: Logische Trennung der Daten verschiedener Customer durch Tenant-IDs.
- Verfügbarkeit und Belastbarkeit: Monitoring, automatische Service-Neustarts (systemd), regelmäßige Backup-Wiederherstellungstests.
§ 9 Berichtigung, Löschung, Auskunft, Datenportabilität
(1) Der Customer kann jederzeit die Rechte der betroffenen Personen ausüben bzw. unterstützen. Hierfür stellt 10xSocial folgende Mechanismen bereit:
- Auskunft und Datenportabilität:
GET /api/v1/auth/me/exportliefert eine maschinenlesbare JSON-Datei mit allen zum Account gespeicherten personenbezogenen Daten. - Berichtigung: Über die Frontend-UI (Einstellungen) oder via
PATCH /api/v1/auth/me. - Löschung:
DELETE /api/v1/auth/meinitiiert die Account-Löschung. Daten werden innerhalb von 30 Tagen vollständig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. handelsrechtliche oder steuerrechtliche Pflichten für Rechnungsdaten).
(2) 10xSocial unterstützt den Customer bei der Erfüllung von Auskunfts- und Löschanträgen gemäß Art. 12–22 DSGVO.
§ 10 Auskunfts- und Mitwirkungspflichten
(1) Der Auftragnehmer stellt dem Customer alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind.
(2) Der Auftragnehmer informiert den Customer unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.
(3) Der Auftragnehmer unterstützt den Customer bei der Erfüllung der Pflichten gemäß Art. 32–36 DSGVO (Datenschutz-Folgenabschätzung, Konsultation der Aufsichtsbehörde).
§ 11 Meldung von Datenpannen
(1) Der Auftragnehmer meldet dem Customer Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung.
(2) Die Meldung enthält mindestens:
- Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze,
- wahrscheinliche Folgen der Verletzung,
- ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Risikominderung.
(3) Der Auftragnehmer unterstützt den Customer bei der Erfüllung etwaiger Benachrichtigungspflichten gegenüber Aufsichtsbehörden und betroffenen Personen.
§ 12 Weisungen, Audit-Recht
(1) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Customers. Der Hauptvertrag und diese AVV gelten als initiale Weisungen. Weitere Weisungen erfolgen in Textform (E-Mail genügt) an datenschutz@10xsocial.de.
(2) Der Customer hat das Recht, sich von der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen sowie der vertraglichen Pflichten des Auftragnehmers zu überzeugen. Er kann hierfür einmal pro Kalenderjahr ein Audit durchführen — entweder selbst, durch einen sachverständigen Dritten oder durch Einsichtnahme in aktuelle Zertifizierungen und Auditberichte.
(3) Audits werden mit angemessener Vorankündigung (mind. 30 Tage), zu üblichen Geschäftszeiten und ohne Störung des Geschäftsbetriebs durchgeführt. Mehraufwand kann der Auftragnehmer gegen angemessene Vergütung in Rechnung stellen.
§ 13 Haftung und Vertragsstrafen
(1) Für die Haftung der Parteien gelten die Regelungen des Hauptvertrags sowie Art. 82 DSGVO.
(2) Die Parteien stellen sich gegenseitig von Ansprüchen Dritter und Bußgeldern frei, soweit diese auf einem schuldhaften Verstoß der jeweils anderen Partei gegen ihre datenschutzrechtlichen Pflichten beruhen.
§ 14 Sonstiges
(1) Schriftform: Änderungen und Ergänzungen dieser AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieser Klausel.
(2) Salvatorische Klausel: Sollten einzelne Bestimmungen dieser AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden die unwirksame Bestimmung durch eine wirksame ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.
(3) Anwendbares Recht: Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.
(4) Gerichtsstand: Soweit gesetzlich zulässig, ist Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser AVV Hechingen, Deutschland.
Unterschriften
Auftraggeber (Customer)
Datum:
Name:
Funktion:
Unterschrift:
Auftragnehmer (10xSocial)
Felix Wilhelm
Königsbergerweg 12
72379 Hechingen
Deutschland
Datum: 27. Mai 2026
Unterschrift: