Auftragsverarbeitungsvertrag (AVV)
Stand: April 2026 | Gemäß Art. 28 Abs. 3 DSGVO
1. Gegenstand und Dauer des Auftrags
Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten durch Mally Media (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher). Der Vertrag wird auf unbestimmte Zeit geschlossen und endet automatisch mit der Beendigung des Hauptvertrages (SaaS-Nutzungsvertrag / AGB).
2. Art und Zweck der Verarbeitung
Gegenstand der Verarbeitung ist die Bereitstellung der "MMV" Plattform zur KI-gestützten Produktvisualisierung. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Verantwortlichen.
Zweck der Verarbeitung:
- Bereitstellung der SaaS-Plattform zur Bildgenerierung.
- Verwaltung von Nutzerkonten für Mitarbeiter des Verantwortlichen.
3. Art der Daten und Kreis der Betroffenen
Verarbeitete Datenarten:
- Kommunikationsdaten (E-Mail-Adresse)
- Stammdaten (Name des Nutzers)
- Bilddaten (vom Verantwortlichen hochgeladene Raumfotos, aus denen automatisiert vor der Weiterverarbeitung alle EXIF- und GPS-Metadaten entfernt werden)
Kategorien betroffener Personen:
- Mitarbeiter/Außendienstler des Verantwortlichen
- Ggf. Endkunden des Verantwortlichen (sofern diese auf den hochgeladenen Bildern abgebildet oder zuordenbar sind)
4. Unterauftragsverhältnisse (Sub-Processors)
Der Verantwortliche stimmt der Einschaltung der nachfolgenden Unterauftragsverarbeiter zu. Der Auftragsverarbeiter stellt sicher, dass diese Sub-Unternehmer dieselben Datenschutzpflichten erfüllen wie vertraglich vereinbart. Bei Drittlandtransfers (z.B. USA) stützt sich die Verarbeitung auf das EU-U.S. Data Privacy Framework (DPF) oder Standardvertragsklauseln (SCCs) der EU-Kommission.
| Unterauftragsverarbeiter | Leistung | Sitz / Standort | Garantie |
|---|---|---|---|
| Vercel Inc. (inkl. AWS) | App-Hosting & API | USA | DPF / SCCs |
| Supabase Inc. | Datenbank & Auth | USA | DPF / SCCs |
| Google Cloud EMEA Ltd. | Vertex AI (Bildanalyse) | EU / USA | DPF / SCCs |
| Replicate Inc. / Black Forest Labs | KI-Bildgenerierung (Flux) | USA / EU | DPF / SCCs |
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich, die gesetzlichen Vorgaben nach Art. 28 ff. DSGVO einzuhalten. Insbesondere garantiert er:
- Geeignete technische und organisatorische Maßnahmen (TOMs) umzusetzen, insbesondere die Pseudonymisierung und Verschlüsselung (Verschlüsselung at rest und in transit).
- Dass alle hochgeladenen Bilddateien vor der Übermittlung an Drittland-KI-Dienste automatisch von Metadaten (GPS, EXIF) bereinigt werden (Privacy by Design).
- Dass hochgeladene Bilder nicht für das Training eigener KI-Modelle verwendet werden.
- Nach Beendigung des Vertrages alle personenbezogenen Daten nach Wahl des Verantwortlichen datenschutzgerecht zu löschen (Regelfrist: 30 Tage nach Kündigung).
6. Zustimmung und Abschluss
Dieser Auftragsverarbeitungsvertrag wird automatisch als Vertragsbestandteil wirksam, sobald der Kunde (Verantwortliche) sich für einen kostenpflichtigen Account registriert und den Allgemeinen Geschäftsbedingungen (AGB) von Mally Media zustimmt.