Auftragsverarbeitungsvertrag (AVV)
To English versionStand: 15. Januar 2025
Verantwortlicher (Controller): Kund:in des Scaling Tools
Auftragsverarbeiter (Processor): Mabted GmbH, Hamburg, Deutschland
E‑Mail: privacy@mabted.com
1. Gegenstand und Dauer der Verarbeitung
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO im Rahmen der Nutzung des Scaling Tools. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen. Die Verarbeitung beginnt mit Abschluss des Nutzungsvertrags (AGB/Terms of Service) und besteht für die Dauer der Nutzung des Dienstes.
2. Art und Zweck der Verarbeitung
Zweck: Automatisierte Optimierung und Skalierung von Meta‑Werbekampagnen durch Regelverarbeitung, Datenaggregation und Performanceanalyse.
Art der Daten:
- Kontaktdaten (Name, E‑Mail‑Adresse, ggf. Unternehmensbezeichnung)
- Zugangsdaten zu Meta‑/Google‑Konten (Token‑basiert, verschlüsselt)
- Ad‑Performance‑Daten, Budgets, Metriken (ROAS, CPA, Umsatz)
- Nutzer:innenkonfigurationen, Regeln, Zeitpläne
Kategorien betroffener Personen:
- Beschäftigte der Kund:innen
- Mitarbeitende mit Zugriff auf Werbekonten
- ggf. Marketingverantwortliche und Kampagnenmanager:innen
3. Rechte und Pflichten des Verantwortlichen
Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er kann jederzeit Weisungen zur Verarbeitung erteilen, Änderungen anfordern oder die Löschung von Daten verlangen. Er ist verpflichtet, Betroffenenrechte (z. B. Auskunft, Löschung, Berichtigung) eigenständig zu erfüllen.
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten
- Vertraulichkeit aller Beschäftigten sicherzustellen
- geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten zu implementieren
- Betroffene bei der Wahrnehmung ihrer Rechte zu unterstützen
- Datenschutzverletzungen unverzüglich zu melden
- alle Unterauftragsverarbeiter vertraglich zur Einhaltung der DSGVO zu verpflichten
5. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter gewährleistet Datensicherheit durch:
- TLS‑Verschlüsselung bei Übertragung und AES‑256 bei Speicherung
- rollenbasiertes Zugriffssystem
- verschlüsselte API‑Tokens und Zugriffsschlüssel
- Protokollierung aller Zugriffe
- regelmäßige Sicherheitsupdates
- Hosting auf Servern innerhalb der EU (Supabase, Frankfurt/Amsterdam Cluster)
Eine Übersicht der Maßnahmen ist auf Anfrage abrufbar.
6. Unterauftragsverarbeiter
Der Auftragsverarbeiter nutzt folgende Unterauftragsverarbeiter im Sinne des Art. 28 Abs. 2 DSGVO:
| Anbieter | Sitz | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Supabase Inc. | EU (Frankfurt/Amsterdam) | Hosting, Datenbank, Authentifizierung | Art. 28 DSGVO |
| Stripe Payments Europe Ltd. | Irland | Zahlungsabwicklung | Art. 28 DSGVO |
| Meta Platforms Ireland Ltd. | Irland | Schnittstelle zu Meta Ads API | Art. 28 DSGVO |
| Google Ireland Ltd. | Irland | Integration mit Google Sheets | Art. 28 DSGVO |
Weitere Unterauftragsverarbeiter werden nur nach vorheriger schriftlicher Information des Verantwortlichen hinzugefügt.
7. Löschung und Rückgabe von Daten
Nach Beendigung der Vertragsbeziehung werden personenbezogene Daten nach 30 Tagen automatisch gelöscht oder anonymisiert; auf schriftliche Anforderung des Verantwortlichen vorzeitig gelöscht oder exportiert. Sicherungskopien werden nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht.
8. Kontrollrechte
Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV zu überprüfen. Der Auftragsverarbeiter ermöglicht auf Anfrage Auskunft über die getroffenen technischen und organisatorischen Maßnahmen und kann Nachweise (z. B. Penetration‑Tests, Audit‑Berichte) bereitstellen.
9. Haftung
Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags (AGB/Terms of Service). Bei Verstößen gegen Datenschutzvorschriften haftet jede Partei im Rahmen ihrer Verantwortlichkeit.
10. Schlussbestimmungen
Dieser Vertrag gilt ab dem Zeitpunkt der Annahme der AGB/Terms of Service als abgeschlossen. Er ist Bestandteil des Hauptvertrags und gilt für alle Verarbeitungsvorgänge, die im Rahmen der Nutzung des Scaling Tools erfolgen. Es gilt deutsches Recht. Gerichtsstand ist Hamburg, sofern gesetzlich zulässig.
Data Processing Agreement (DPA)
Effective Date: January 15, 2025
Controller: Customer of the Scaling Tool
Processor: Mabted GmbH, Hamburg, Germany
Email: privacy@mabted.com
1. Subject and Term
This agreement governs processing of personal data under Art. 28 GDPR in connection with the Scaling Tool. The Processor acts solely on documented instructions of the Controller. Processing starts with the subscription (AGB/Terms) and lasts for the term of service usage.
2. Nature and Purpose
Purpose: Automated optimization/scaling of Meta ad campaigns through rule execution, data aggregation and performance analysis.
Data types:
- Contact data (name, email, company)
- Token‑based credentials for Meta/Google (encrypted)
- Ad performance data, budgets, metrics (ROAS, CPA, revenue)
- User configurations, rules, schedules
Data subjects:
- Employees of the customer
- Staff with access to ad accounts
- Marketing managers and campaign owners
3. Controller’s Rights and Duties
The Controller remains responsible for lawfulness, may issue instructions at any time, and must fulfil data subject rights.
4. Processor’s Obligations
The Processor shall:
- process data only on instructions of the Controller
- ensure confidentiality of personnel
- implement appropriate technical and organizational measures (TOMs)
- assist with data subject requests
- notify personal data breaches without undue delay
- bind sub‑processors to GDPR‑compliant terms
5. Technical and Organizational Measures
Measures include TLS in transit, AES‑256 at rest, RBAC, encrypted tokens, access logging, regular updates, EU hosting (Supabase, Frankfurt/Amsterdam).
6. Sub‑processors
The Processor uses the following sub‑processors:
| Provider | Location | Purpose | Legal basis |
|---|---|---|---|
| Supabase Inc. | EU (Frankfurt/Amsterdam) | Hosting, database, auth | Art. 28 GDPR |
| Stripe Payments Europe Ltd. | Ireland | Payments | Art. 28 GDPR |
| Meta Platforms Ireland Ltd. | Ireland | Meta Ads API | Art. 28 GDPR |
| Google Ireland Ltd. | Ireland | Google Sheets integration | Art. 28 GDPR |
7. Deletion and Return of Data
After termination, personal data are deleted/anonymized within 30 days; upon written request earlier deletion/export is possible. Backups are deleted after statutory retention.
8. Audit Rights
The Controller may verify compliance. The Processor provides information on TOMs and relevant evidence on request.
9. Liability
Liability follows the main agreement (AGB/Terms). Each party is liable within its responsibility for privacy violations.
10. Final Provisions
This agreement is concluded upon acceptance of the AGB/Terms and applies to all processing while using the Scaling Tool. Governing law: Germany; venue: Hamburg, where permitted.