Vereinbarung zur Auftragsverarbeitung
gemäß Art. 28 DSGVO · für die Anwendung „Studio-Cockpit" (crm.kreativdesign7.de) · Stand: Juli 2026
Parteien und Rollen
Diese Vereinbarung zur Auftragsverarbeitung („AVV") wird geschlossen zwischen dem Kunden, der das Studio-Cockpit nutzt (nachfolgend „Auftraggeber" bzw. „Verantwortlicher"), und
kreativdesign7 — Esma Nur Bayrak, St.-Georg-Siedlung 46, 83043 Bad Aibling, Deutschland (nachfolgend „Auftragnehmer" bzw. „Auftragsverarbeiter").
Sie konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der Software-as-a-Service-Anwendung „Studio-Cockpit" (der „Hauptvertrag", bestehend aus den Nutzungsbedingungen). Der Auftraggeber ist für die von ihm in die Anwendung eingegebenen personenbezogenen Daten Verantwortlicher im Sinne der DSGVO.
kreativdesign7 — Esma Nur Bayrak, St.-Georg-Siedlung 46, 83043 Bad Aibling, Deutschland (nachfolgend „Auftragnehmer" bzw. „Auftragsverarbeiter").
Sie konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der Software-as-a-Service-Anwendung „Studio-Cockpit" (der „Hauptvertrag", bestehend aus den Nutzungsbedingungen). Der Auftraggeber ist für die von ihm in die Anwendung eingegebenen personenbezogenen Daten Verantwortlicher im Sinne der DSGVO.
1. Gegenstand und Dauer
Gegenstand der Verarbeitung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers, soweit sie zur Bereitstellung der vereinbarten Funktionen des Studio-Cockpits erforderlich ist. Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags; sie endet automatisch mit dessen Beendigung, unbeschadet fortbestehender Pflichten zur Löschung oder Rückgabe der Daten (Ziffer 9).
2. Art, Umfang und Zweck der Verarbeitung
Zweck: Bereitstellung der Anwendung zur Kunden-, Projekt-, Angebots-, Rechnungs-, Buchhaltungs- und Kommunikationsverwaltung des Auftraggebers.
Art der Verarbeitung:Erheben, Speichern, Ordnen, Auslesen, Verwenden, Übermitteln (z. B. E-Mail-Versand über das vom Auftraggeber konfigurierte Postfach), Einschränken und Löschen.
Kategorien betroffener Personen: Kunden, Interessenten (Leads), Lieferanten, Ansprechpartner und — je nach Nutzung — Mitarbeiter des Auftraggebers.
Arten der Daten: Stamm- und Kontaktdaten (Name, Anschrift, E-Mail, Telefon), Vertrags-, Angebots- und Rechnungsdaten, Kommunikationsinhalte (E-Mails), hochgeladene Dokumente und Belege, bei aktivierter Bankanbindung Kontoumsatzdaten sowie technische Nutzungs- und Protokolldaten.
Art der Verarbeitung:Erheben, Speichern, Ordnen, Auslesen, Verwenden, Übermitteln (z. B. E-Mail-Versand über das vom Auftraggeber konfigurierte Postfach), Einschränken und Löschen.
Kategorien betroffener Personen: Kunden, Interessenten (Leads), Lieferanten, Ansprechpartner und — je nach Nutzung — Mitarbeiter des Auftraggebers.
Arten der Daten: Stamm- und Kontaktdaten (Name, Anschrift, E-Mail, Telefon), Vertrags-, Angebots- und Rechnungsdaten, Kommunikationsinhalte (E-Mails), hochgeladene Dokumente und Belege, bei aktivierter Bankanbindung Kontoumsatzdaten sowie technische Nutzungs- und Protokolldaten.
3. Weisungsgebundenheit
Der Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Nutzung der Funktionen der Anwendung durch den Auftraggeber gilt als Weisung; darüber hinausgehende Einzelweisungen erfolgen in Textform. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt; er ist berechtigt, die Durchführung einer solchen Weisung bis zur Bestätigung oder Änderung auszusetzen.
4. Pflichten des Auftragnehmers
Der Auftragnehmer gewährleistet die Einhaltung der Pflichten aus Art. 28 Abs. 3 DSGVO, insbesondere:
• Verarbeitung ausschließlich auf dokumentierte Weisung (Ziffer 3);
• Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit;
• Umsetzung angemessener technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (Anlage 1);
• Einbindung von Unterauftragsverarbeitern nur nach Maßgabe von Ziffer 6;
• Unterstützung des Auftraggebers bei der Beantwortung von Anträgen betroffener Personen (Ziffer 7);
• Unterstützung bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung);
• Löschung oder Rückgabe der Daten nach Beendigung (Ziffer 9);
• Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung dieser Pflichten und Ermöglichung von Überprüfungen (Ziffer 8).
• Verarbeitung ausschließlich auf dokumentierte Weisung (Ziffer 3);
• Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit;
• Umsetzung angemessener technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (Anlage 1);
• Einbindung von Unterauftragsverarbeitern nur nach Maßgabe von Ziffer 6;
• Unterstützung des Auftraggebers bei der Beantwortung von Anträgen betroffener Personen (Ziffer 7);
• Unterstützung bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung);
• Löschung oder Rückgabe der Daten nach Beendigung (Ziffer 9);
• Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung dieser Pflichten und Ermöglichung von Überprüfungen (Ziffer 8).
5. Technische und organisatorische Maßnahmen (TOM)
Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO und hält diese während der Laufzeit auf einem dem Stand der Technik und dem Schutzbedarf angemessenen Niveau. Maßnahmen können fortentwickelt werden, sofern das Schutzniveau nicht unterschritten wird.
6. Unterauftragsverarbeiter
Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter („Unterauftragsverarbeiter") einzusetzen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2aufgeführt. Der Auftragnehmer verpflichtet jeden Unterauftragsverarbeiter auf Datenschutzpflichten, die den hier vereinbarten gleichwertig sind. Über beabsichtigte Änderungen (Hinzufügung oder Austausch) informiert der Auftragnehmer den Auftraggeber rechtzeitig; der Auftraggeber kann einer Änderung aus wichtigem, datenschutzrechtlichem Grund widersprechen. Nicht als Unterauftragsverarbeiter im Sinne dieser Vereinbarung gelten Dienste, die der Auftraggeber selbst konfiguriert und veranlasst (z. B. sein eigener E-Mail-Anbieter, ein Kontoinformationsdienst bei aktivierter Bankanbindung oder ein KI-Anbieter bei aktiviertem Chatbot-Add-on mit eigenem Schlüssel).
7. Rechte der betroffenen Personen
Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Möglichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Die Anwendung stellt hierfür Export- und Bearbeitungsfunktionen bereit. Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, leitet dieser das Anliegen unverzüglich an den Auftraggeber weiter.
8. Meldung von Verletzungen und Kontrollrechte
Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei dessen Pflichten nach Art. 33 und 34 DSGVO. Der Auftragnehmer weist die Einhaltung der Pflichten aus dieser Vereinbarung auf Anfrage nach — vorrangig durch Auskünfte, Dokumentation oder aussagekräftige Nachweise. Darüber hinausgehende Kontrollen (auch vor Ort) sind nach rechtzeitiger Ankündigung und in einem den laufenden Betrieb schonenden Rahmen zulässig.
9. Löschung und Rückgabe nach Beendigung
Nach Beendigung der Verarbeitung löscht der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Der Export der Daten ist dem Auftraggeber jederzeit über die Anwendung möglich. Für die Einhaltung eigener gesetzlicher Aufbewahrungspflichten bleibt der Auftraggeber verantwortlich.
10. Haftung
Die Haftung richtet sich nach Art. 82 DSGVO sowie den Regelungen des Hauptvertrags. Im Verhältnis der Parteien bleibt jede Partei für die ihr obliegenden Datenschutzpflichten verantwortlich.
11. Schlussbestimmungen
Diese Vereinbarung wird mit der Registrierung bzw. der weiteren Nutzung der Anwendung elektronisch geschlossen; die Textform genügt (Art. 28 Abs. 9 DSGVO). Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieser Vereinbarung vor. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Es gilt deutsches Recht.
Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Vertraulichkeit & Zugangskontrolle: individuelle Benutzerkonten mit Rollen- und Rechteverwaltung; Passwörter werden ausschließlich als Hash gespeichert; optionale Zwei-Faktor-Authentifizierung (TOTP); abgesicherte Sitzungen (httpOnly-Cookies); Begrenzung von Anmeldeversuchen.
Mandantentrennung: die Daten der einzelnen Studios werden logisch strikt voneinander getrennt verarbeitet (Tenant-Isolierung mit fail-closed-Zugriffsschutz).
Integrität & Übertragung: ausschließlich TLS-verschlüsselte Übertragung; serverseitige Sicherheits-Header.
Verfügbarkeit & Belastbarkeit: regelmäßige Datensicherungen; Serverstandort Frankfurt am Main (Deutschland).
Protokollierung:Erfassung sicherheitsrelevanter Zugriffe (z. B. Anmeldungen) zur Absicherung des Betriebs.
Mandantentrennung: die Daten der einzelnen Studios werden logisch strikt voneinander getrennt verarbeitet (Tenant-Isolierung mit fail-closed-Zugriffsschutz).
Integrität & Übertragung: ausschließlich TLS-verschlüsselte Übertragung; serverseitige Sicherheits-Header.
Verfügbarkeit & Belastbarkeit: regelmäßige Datensicherungen; Serverstandort Frankfurt am Main (Deutschland).
Protokollierung:Erfassung sicherheitsrelevanter Zugriffe (z. B. Anmeldungen) zur Absicherung des Betriebs.
Anlage 2 — Unterauftragsverarbeiter
Zum Zeitpunkt des Vertragsschlusses ist folgender Unterauftragsverarbeiter eingesetzt:
• Hostinger International Ltd., Litauen — Hosting und Serverbetrieb der Anwendung; Serverstandort Frankfurt am Main (Deutschland). Grundlage: Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
Weitere Dienste werden nur auf Veranlassung des Auftraggebers eingebunden (siehe Ziffer 6): der vom Auftraggeber konfigurierte E-Mail-Anbieter, bei aktivierter Bankanbindung die Enable Banking Oy (Espoo, Finnland) als lizenzierter Kontoinformationsdienst und bei aktiviertem Chatbot-Add-on der vom Auftraggeber gewählte KI-Anbieter (mit dessen eigenem Schlüssel).
• Hostinger International Ltd., Litauen — Hosting und Serverbetrieb der Anwendung; Serverstandort Frankfurt am Main (Deutschland). Grundlage: Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
Weitere Dienste werden nur auf Veranlassung des Auftraggebers eingebunden (siehe Ziffer 6): der vom Auftraggeber konfigurierte E-Mail-Anbieter, bei aktivierter Bankanbindung die Enable Banking Oy (Espoo, Finnland) als lizenzierter Kontoinformationsdienst und bei aktiviertem Chatbot-Add-on der vom Auftraggeber gewählte KI-Anbieter (mit dessen eigenem Schlüssel).
Anbieter: kreativdesign7 — Esma Nur Bayrak, St.-Georg-Siedlung 46, 83043 Bad Aibling · info@kreativdesign7.de. Diese Vereinbarung wird mit der Registrierung elektronisch geschlossen.