Auftragsverarbeitungsvertrag
Stand: April 2026
Dieser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird geschlossen zwischen dem Nutzer der Plattform specialAIzed als Verantwortlichem und
Ulrich Zimmermann
Niederwaldstraße 3
01309 Dresden
E-Mail: info@specialaized.ai
als Auftragsverarbeiter.
Dieser AVV wird mit Nutzung des Dienstes durch den Verantwortlichen wirksam und gilt für die Dauer des Nutzungsverhältnisses gemäß den AGB.
1. Gegenstand und Dauer der Verarbeitung
(1) Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien im Zusammenhang mit der Nutzung der Plattform specialAIzed.
(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der in Abschnitt 2 beschriebenen Leistungen.
(3) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsverhältnisses. Der AVV endet automatisch mit der Löschung des Nutzerkontos oder der Beendigung des Nutzungsverhältnisses.
2. Art und Zweck der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Bereitstellung der KI-gestützten Bild-, Audio- und Videoverarbeitungsdienste der Plattform specialAIzed. Dies umfasst insbesondere:
- Entgegennahme und vorübergehende Speicherung von durch den Verantwortlichen hochgeladenen Dateien
- KI-gestützte Verarbeitung und Generierung von Bild-, Audio- und Videoinhalten
- Inhaltliche Moderation hochgeladener Dateien und Eingaben
- Bereitstellung der verarbeiteten Ergebnisse zum Download
3. Art der personenbezogenen Daten
Folgende Arten personenbezogener Daten können im Rahmen der Auftragsverarbeitung verarbeitet werden:
- Bild- und Videodaten, die Personen zeigen (z.B. Gesichter, Körper)
- Audiodaten und Stimmproben (einschließlich biometrischer Daten im Sinne des Art. 9 DSGVO)
- Metadaten der hochgeladenen Dateien (Dateiname, Dateigröße, Zeitstempel)
- Textuelle Eingaben (Prompts, Beschreibungen), soweit diese personenbezogene Daten enthalten
4. Kategorien betroffener Personen
Die betroffenen Personen sind Personen, deren personenbezogene Daten in den vom Verantwortlichen hochgeladenen oder eingegebenen Inhalten enthalten sind. Dies können insbesondere sein:
- Mitarbeiter, Kunden oder Geschäftspartner des Verantwortlichen
- Personen, die in Bild-, Video- oder Audiomaterial abgebildet oder aufgenommen sind
- Stimminhaber, deren Stimmproben für die KI-Sprachsynthese verwendet werden
5. Pflichten des Verantwortlichen
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich.
(2) Der Verantwortliche stellt sicher, dass er über alle erforderlichen Rechtsgrundlagen und Einwilligungen für die Übermittlung personenbezogener Daten an den Auftragsverarbeiter verfügt. Dies gilt insbesondere für die Verarbeitung biometrischer Daten (Stimmproben) gemäß Art. 9 Abs. 2 DSGVO.
(3) Der Verantwortliche erteilt Weisungen zur Datenverarbeitung in der Regel über die Funktionen der Plattform. Darüber hinausgehende Weisungen bedürfen der Schriftform (E-Mail genügt).
6. Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet. In einem solchen Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, sofern das Recht eine solche Information nicht verbietet.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Anfragen betroffener Personen gemäß Art. 15–22 DSGVO durch geeignete technische und organisatorische Maßnahmen.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art. 32–36 DSGVO genannten Pflichten, insbesondere hinsichtlich der Sicherheit der Verarbeitung, der Meldung von Datenschutzverletzungen und der Datenschutz-Folgenabschätzung.
(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt.
7. Unterauftragsverarbeitung
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Einschaltung der nachfolgend aufgeführten Unterauftragsverarbeiter gemäß Art. 28 Abs. 2 DSGVO.
(2) Der Auftragsverarbeiter setzt derzeit folgende Unterauftragsverarbeiter ein:
| Anbieter | Zweck | Standort | Garantien |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Dateispeicherung | EU (Frankfurt) / USA | EU-US DPF, Art. 46 DSGVO |
| Vercel Inc. | Frontend-Hosting, Serverless Functions | USA | EU-US DPF |
| RunPod Inc. | KI-Verarbeitung (Bild, Audio, Video) | USA | Art. 46 DSGVO |
| Functional Software Inc. (Sentry) | Fehlerüberwachung | USA | EU-US DPF |
| Upstash Inc. | Rate Limiting | USA | EU-US DPF |
| Resend Inc. | E-Mail-Versand | USA | Auftragsverarbeitung |
| OpenAI Inc. | Inhaltsmoderation | USA | EU-US DPF |
| Google LLC | KI-Analyse (Videobeschriftung, Transkription, Kommentierung) | USA | EU-US DPF |
(3) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann gegen solche Änderungen innerhalb von 14 Tagen nach Benachrichtigung Einspruch erheben. Bei berechtigtem Einspruch steht dem Verantwortlichen ein außerordentliches Kündigungsrecht zu.
(4) Der Auftragsverarbeiter stellt vertraglich sicher, dass jedem Unterauftragsverarbeiter mindestens die gleichen Datenschutzpflichten auferlegt werden wie in diesem AVV.
8. Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:
a) Zugangskontrolle (Zugang zu Systemen)
Authentifizierung über Supabase Auth mit OAuth 2.0 (Google) und E-Mail/Passwort. Passwörter werden mittels bcrypt gehasht gespeichert. Sitzungsverwaltung über sichere Cookies (HttpOnly, Secure, SameSite). Automatische Sitzungserneuerung über Middleware. Rollenbasierte Zugriffskontrolle für Administrationsfunktionen.
b) Zugriffskontrolle (Zugriff auf Daten)
Nutzerdaten sind durch nutzer-ID-basierte Zugriffsprüfungen auf Anwendungsebene isoliert. Upload-Pfade enthalten die Nutzer-ID zur Eigentumsverifizierung. Download-Funktionen prüfen die Projektinhaberschaft vor der Bereitstellung. Administrationszugriff erfordert separate Rollenprüfung.
c) Weitergabekontrolle (Übertragungssicherheit)
TLS/HTTPS-Verschlüsselung für alle Datenübertragungen. HSTS mit einer Gültigkeit von zwei Jahren (includeSubDomains, Preload). Sicherheitsheader: X-Frame-Options (DENY), X-Content-Type-Options (nosniff), Referrer-Policy (strict-origin-when-cross-origin), Permissions-Policy. Signierte URLs mit zeitlicher Begrenzung für Datei-Uploads und -Downloads.
d) Eingabekontrolle (Nachvollziehbarkeit)
Vollständige Transaktionsprotokollierung aller Credit-Bewegungen mit Nutzer-ID, Zeitstempel und Referenz. Webhook-Verifizierung mittels HMAC-Signaturen (Stripe) und Bearer-Token (RunPod). Eingabevalidierung mittels Schema-Validierung (Zod) auf allen API-Endpunkten.
e) Verfügbarkeitskontrolle
Automatische Löschung von Projektdateien nach 7 Tagen. Löschung von Zwischendateien innerhalb von 24 Stunden. Fehlerüberwachung durch Sentry mit automatischer Benachrichtigung. Tägliche automatisierte Bereinigungsaufträge.
f) Trennungskontrolle (Zweckbindung)
Logische Trennung der Nutzerdaten durch nutzerbasierte Datenbankabfragen. Separate Speicherpfade pro Nutzer im Dateisystem. Strikte Zweckbindung: Daten werden ausschließlich für den vom Nutzer beauftragten Verarbeitungszweck verwendet.
g) Missbrauchsschutz
Mehrstufiges Rate Limiting (7 Stufen, angepasst an Funktionstyp) über Upstash Redis. Zweistufige Inhaltsprüfung: Schlüsselwort-Blockliste für schwerwiegende Verstöße und OpenAI Moderation API für Text-, Bild- und Videoinhalte.
h) Verschlüsselung
Verschlüsselung bei der Übertragung: TLS/HTTPS für alle Verbindungen. Verschlüsselung im Ruhezustand: durch die Infrastrukturanbieter (Supabase, Vercel). Verwaltung sensibler Zugangsdaten über Umgebungsvariablen der Hosting-Plattform (nicht im Quellcode gespeichert).
9. Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, an die vom Verantwortlichen hinterlegte E-Mail-Adresse.
(2) Die Meldung enthält mindestens:
- Eine Beschreibung der Art der Verletzung
- Die betroffenen Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
- Die wahrscheinlichen Folgen der Verletzung
- Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung
10. Löschung und Rückgabe von Daten
(1) Nach Beendigung des Auftragsverhältnisses löscht der Auftragsverarbeiter alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, unverzüglich, spätestens jedoch innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Hochgeladene und generierte Dateien werden spätestens 7 Tage nach Fertigstellung automatisch gelöscht. Zwischendateien werden innerhalb von 24 Stunden entfernt. Bei Löschung des Nutzerkontos erfolgt die Löschung aller Projektdaten und Dateien unverzüglich.
(3) Transaktionsdaten werden bei Kontolöschung anonymisiert (Entfernung des Personenbezugs durch Ersetzen der Nutzer-ID), um gesetzlichen Aufbewahrungspflichten (§ 147 AO, 10 Jahre) nachzukommen. Anonymisierte Daten stellen keine personenbezogenen Daten im Sinne der DSGVO dar.
(4) Der Auftragsverarbeiter bestätigt dem Verantwortlichen auf Anfrage die vollständige Löschung schriftlich.
11. Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieses AVV zu überprüfen.
(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen.
(3) Prüfungen können zunächst durch Vorlage geeigneter Dokumentation (z.B. Beantwortung von Fragebögen, Bereitstellung von Nachweisen über die technischen und organisatorischen Maßnahmen) erfolgen. Vor-Ort-Prüfungen sind mit einer Vorlaufzeit von mindestens vier Wochen schriftlich anzukündigen und auf die üblichen Geschäftszeiten zu beschränken. Die Kosten einer Vor-Ort-Prüfung trägt der Verantwortliche.
12. Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO in Verbindung mit den Haftungsbestimmungen der AGB.
13. Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform (E-Mail genügt).
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
(4) Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen zwischen den Parteien gehen die Bestimmungen dieses AVV in Bezug auf den Schutz personenbezogener Daten vor.