Auftragsverarbeitungsvertrag (AVV)

Dieser Vertrag gemäß Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten, die wir im Auftrag unserer Kunden verarbeiten. Er wird mit der Nutzung von VibeBridge als Bestandteil der AGB geschlossen; eine gesonderte Unterzeichnung ist nicht erforderlich.

Parteien

• Verantwortlicher: der Kunde, der VibeBridge nutzt und für die verarbeiteten Daten verantwortlich ist.
• Auftragsverarbeiter: Kompass Consulting GmbH, Waagner-Biro-Straße 47/1, 8020 Graz, Österreich (Marke „VibeBridge").

§ 1 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung des Dienstes (insbesondere Hosting und Pflege der Websites des Verantwortlichen sowie Erfassung von Formular- bzw. Lead-Daten). Die Dauer entspricht der Laufzeit des Hauptvertrags (AGB).

§ 2 Art, Zweck, Datenkategorien, Betroffene

• Art und Zweck: Speicherung, Auslieferung und Verwaltung von Website-Inhalten sowie Erfassung und Bereitstellung von über Formulare übermittelten Daten.
• Datenkategorien: Kontakt- und Stammdaten (z. B. Name, E-Mail, Telefon, Nachricht), Inhalts- und Nutzungsdaten, IP-Adressen.
• Betroffene: Besucher und Interessenten der Websites des Verantwortlichen, von ihm erfasste Kontakte.

§ 3 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung des Dienstes und dessen Konfiguration gelten als solche Weisungen. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.

§ 4 Pflichten des Auftragsverarbeiters

• Vertraulichkeit: zur Verarbeitung befugte Personen sind zur Verschwiegenheit verpflichtet.
• Sicherheit: Umsetzung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage 2).
• Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 12–23), bei Meldepflichten (Art. 33/34) und bei Datenschutz-Folgenabschätzungen (Art. 35/36), soweit erforderlich.
• Meldung von Datenschutzverletzungen ohne unangemessene Verzögerung nach Bekanntwerden.

§ 5 Unterauftragsverarbeiter

Der Verantwortliche erteilt die allgemeine Genehmigung zur Beauftragung der in Anlage 1 genannten Unterauftragsverarbeiter. Über beabsichtigte Änderungen informiert der Auftragsverarbeiter rechtzeitig; der Verantwortliche kann aus wichtigem Grund widersprechen. Mit jedem Unterauftragsverarbeiter werden gleichwertige Datenschutzpflichten vereinbart; bei Drittlandsbezug gelten die EU-Standardvertragsklauseln.

§ 6 Betroffenenrechte, Löschung und Rückgabe

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten. Nach Beendigung löscht oder retourniert er die verarbeiteten Daten nach Wahl des Verantwortlichen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 7 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen (Audits), die den Betrieb nicht unverhältnismäßig beeinträchtigen.

Anlage 1: Unterauftragsverarbeiter

• Supabase, Inc. (USA) – Datenbank, Authentifizierung, Datei-Speicher; Datenhaltung Frankfurt/DE (EU, eu-central-1); EU-SCC / Data Privacy Framework.
• Vercel Inc. (USA) – Hosting und Auslieferung der Anwendung (EU-SCC).
• Stripe Payments Europe, Ltd. (Irland) – Zahlungsabwicklung, Abo-Verwaltung und Rechnungsstellung; konzernintern ggf. Stripe, LLC (USA, EU-SCC/DPF).
• Plus Five Five, Inc. („Resend", USA) – E-Mail-Versand (EU-SCC).
• Cloudflare, Inc. (USA) – Hosting/Auslieferung der Websites, CDN, Spam-Schutz (EU-SCC / Data Privacy Framework).
• Anthropic PBC (USA) – KI-gestützte Inhaltsverarbeitung (EU-SCC).

Anlage 2: Technische und organisatorische Maßnahmen (TOM)

• Zugriffskontrolle: rollenbasierte Zugriffe, Row-Level-Security auf Datenbankebene, Mandantentrennung pro Kunde.
• Verschlüsselung: Transportverschlüsselung (TLS) und Verschlüsselung ruhender Daten bei den eingesetzten Anbietern.
• Authentifizierung: sichere Anmeldung, gehärtete Auth-Konfiguration, Rate-Limiting und Missbrauchsschutz.
• Verfügbarkeit: regelmäßige Backups, Wiederherstellbarkeit von Inhalten, Aufbewahrungs- und Löschkonzepte.
• Datenminimierung: Aggregation von Statistikdaten, automatische Bereinigung und Ablauf von Archiven.
• Standort: primäre Datenhaltung in der EU (Frankfurt); Drittlandtransfers nur mit geeigneten Garantien (SCC).

Haftung und Schlussbestimmungen

Es gelten die Haftungsregelungen der AGB sowie die zwingenden Bestimmungen der DSGVO. Ergänzend gilt unsere Datenschutzerklärung. Bei Fragen: support@vibebridge.ai.