Vereinbarung zur Auftragsverarbeitung (AVV)

Stand: 31. Mai 2026

Vereinbarung zur Auftragsverarbeitung

zwischen

dem jeweiligen Kunden von vitonnect

- nachfolgend „Verantwortlicher“ oder „Kunde“ -

und

vitonnect GbR

Victoria Gomez & Tom Höhner

Hohentorstr. 91

28199 Bremen

Deutschland

E-Mail: moin@vitonnect.de

- nachfolgend „Auftragsverarbeiter“ oder „vitonnect“ -

gemeinsam auch „Parteien“ genannt.

Präambel

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) ergänzt den zwischen dem Kunden und vitonnect geschlossenen Hauptvertrag, insbesondere das angenommene Angebot, die Allgemeinen Geschäftsbedingungen („AGB“) sowie sonstige individuelle Vereinbarungen.

Die Parteien gehen davon aus, dass vitonnect im Rahmen der vertraglich vereinbarten Leistungen personenbezogene Daten im Auftrag des Kunden verarbeitet, insbesondere wenn der Kunde Videomaterial, Bildmaterial, Tonaufnahmen oder sonstige Mediendateien hochlädt, auf denen natürliche Personen erkennbar oder hörbar sind.

Diese AVV konkretisiert die Rechte und Pflichten der Parteien nach Art. 28 DSGVO.

Diese Vereinbarung kann elektronisch abgeschlossen werden, insbesondere durch aktive Bestätigung im Kundenportal, durch Annahme eines Angebots mit Verweis auf diese Vereinbarung, per E-Mail oder auf sonstige dokumentierte Weise in Textform. Sie wird wirksam, sobald der Kunde sie auf einem dieser Wege akzeptiert. vitonnect kann zur Nachweisführung den Zeitpunkt der Bestätigung, die bestätigte Dokumentversion, den Bestätigungsweg sowie die hierfür erforderlichen technischen Metadaten speichern.

Gegenstand und Dauer der Auftragsverarbeitung

Gegenstand der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten im Rahmen der Erstellung, Bearbeitung, Verwaltung, Bereitstellung und optionalen Veröffentlichung von Social-Media-Videos und sonstigen vereinbarten Videoinhalten.

vitonnect verarbeitet hierbei insbesondere personenbezogene Daten, die in vom Kunden bereitgestelltem Rohmaterial, Bestandsmaterial, Bildmaterial, Tonmaterial, Textinformationen oder sonstigen Projektinformationen enthalten sind.

Hierzu können insbesondere gehören:

  • erkennbare Personen in Video- oder Bildaufnahmen
  • Stimmen und sonstige Tonaufnahmen
  • Namen, Rollen oder Funktionsbezeichnungen
  • Angaben in Dateinamen, Projektbeschreibungen oder Kommentaren
  • Metadaten von Mediendateien
  • Kommunikationsdaten im Kundenportal
  • Freigaben, Feedback und Statusinformationen zu Videoprojekten.

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen und nach Maßgabe dieser AVV, des Hauptvertrags sowie dokumentierter Weisungen des Kunden.

Dauer der Verarbeitung

Die AVV gilt für die Dauer des Hauptvertrags zwischen dem Kunden und vitonnect.

Nach Beendigung des Hauptvertrags oder nach Abschluss der jeweiligen Verarbeitung löscht vitonnect personenbezogene Daten oder gibt sie auf Wunsch des Kunden in einem gängigen Format zurück, soweit keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweiszwecke oder vertraglichen Gründe einer Löschung entgegenstehen.

Näheres zur Löschung und Aufbewahrung ergibt sich aus Ziffer 12 dieser AVV sowie aus dem jeweils geltenden Lösch- und Aufbewahrungskonzept von vitonnect.

Art und Zweck der Verarbeitung, Datenkategorien und betroffene Personen

Art der Verarbeitung

Die Verarbeitung kann insbesondere folgende Vorgänge umfassen:

  • Erheben im Rahmen des Uploads oder der Bereitstellung durch den Kunden
  • Speichern
  • Ordnen und Strukturieren
  • Sichten und Auswählen
  • Schneiden und Bearbeiten
  • Verändern, etwa durch Schnitt, Untertitel, Textelemente, Tonanpassung oder einfache Nachbearbeitung
  • Abrufen und Anzeigen im Kundenportal
  • Übermitteln oder Bereitstellen an den Kunden
  • optionales Veröffentlichen auf vereinbarten Social-Media-Kanälen nach Freigabe des Kunden
  • Einschränken, Archivieren und Löschen.

Zweck der Verarbeitung

Zweck der Verarbeitung ist die Erfüllung der zwischen dem Kunden und vitonnect vereinbarten Leistungen. Dazu gehören insbesondere:

  • Erstellung und Bearbeitung von Social-Media-Videos
  • Bereitstellung fertiger Videos im Kundenportal
  • Verwaltung von Video-Slots, Paketen, Extra-Videos und Freigaben
  • Kommunikation mit dem Kunden
  • optionales Posting freigegebener Inhalte
  • technische Bereitstellung und Sicherung des Kundenportals
  • Abrechnung und Vertragsverwaltung, soweit hierfür personenbezogene Daten verarbeitet werden.

Kategorien personenbezogener Daten

Je nach Inhalt des vom Kunden bereitgestellten Materials können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Bildaufnahmen und Videoaufnahmen
  • Tonaufnahmen und Stimmen
  • Namen, Rollen, Tätigkeitsbezeichnungen oder sonstige Identifikationsmerkmale
  • Metadaten von Mediendateien, z. B. Dateiname, Upload-Zeitpunkt, technische Dateiinformationen und gegebenenfalls Aufnahmeinformationen
  • Inhalte, die in Aufnahmen sichtbar oder hörbar sind
  • Kunden-, Kontakt- und Kommunikationsdaten
  • Login-, Nutzungs- und Statusdaten im Kundenportal
  • Feedback-, Freigabe- und Projektinformationen.

Kategorien betroffener Personen

Betroffene Personen können insbesondere sein:

  • Mitarbeitende des Kunden
  • Geschäftsführende, Inhaberinnen und Inhaber oder sonstige Vertreter des Kunden
  • Gäste, Kundinnen und Kunden des Kunden
  • Lieferanten, Dienstleister oder sonstige Geschäftspartner des Kunden
  • zufällig im Hintergrund erkennbare oder hörbare Personen
  • sonstige Personen, die in den hochgeladenen Inhalten erkennbar oder hörbar sind.

Besondere Kategorien personenbezogener Daten

Der Kunde darf keine Inhalte hochladen oder zur Verarbeitung bereitstellen, die besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO enthalten, sofern hierfür keine ausreichende und dokumentierte Rechtsgrundlage besteht.

Hierzu zählen insbesondere Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder eine Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung.

Aufnahmen von Minderjährigen dürfen nur hochgeladen werden, wenn der Kunde hierfür eine geeignete Rechtsgrundlage und, soweit erforderlich, eine nachweisbare Einwilligung der Sorgeberechtigten besitzt.

Verantwortlichkeit des Kunden

Rechtmäßigkeit der Verarbeitung

Der Kunde bleibt als Verantwortlicher im Sinne der DSGVO für die Rechtmäßigkeit der Verarbeitung verantwortlich.

Der Kunde stellt insbesondere sicher, dass für alle hochgeladenen oder bereitgestellten Inhalte eine geeignete Rechtsgrundlage besteht. Dies gilt insbesondere für:

  • Einwilligungen abgebildeter oder hörbarer Personen
  • arbeitsrechtliche Erlaubnisse oder Vereinbarungen bei Mitarbeitenden
  • berechtigte Interessen
  • vertragliche Grundlagen
  • gesetzliche Erlaubnistatbestände
  • sonstige erforderliche Rechte, Freigaben oder Zustimmungen.

Rechte Dritter und Inhalte

Der Kunde ist dafür verantwortlich, dass das bereitgestellte Material keine Rechte Dritter verletzt. Dies betrifft insbesondere:

  • Persönlichkeitsrechte
  • Urheberrechte
  • Markenrechte
  • Hausrechte
  • Musikrechte
  • Nutzungsrechte
  • Rechte von Mitarbeitenden, Gästen, Kundinnen und Kunden oder sonstigen Personen.

Informationspflichten

Der Kunde ist dafür verantwortlich, betroffene Personen nach Maßgabe der Art. 13 und 14 DSGVO über die Verarbeitung ihrer personenbezogenen Daten zu informieren, soweit dies erforderlich ist.

Betroffenenrechte und Anfragen

Gehen beim Kunden Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder sonstige Betroffenenanfragen ein, die sich auf von vitonnect verarbeitete Daten beziehen, informiert der Kunde vitonnect unverzüglich, soweit die Mitwirkung von vitonnect erforderlich ist.

Weisungen

Der Kunde erteilt vitonnect alle für die Verarbeitung erforderlichen Weisungen rechtzeitig, klar und dokumentiert. Weisungen können sich aus dem Hauptvertrag, dieser AVV, dem Kundenportal, E-Mails oder sonstigen Mitteilungen in Textform ergeben.

Pflichten von vitonnect als Auftragsverarbeiter

Verarbeitung nach Weisung

vitonnect verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, sofern vitonnect nicht durch Recht der Europäischen Union oder eines Mitgliedstaats zu einer Verarbeitung verpflichtet ist. In diesem Fall informiert vitonnect den Kunden vor der Verarbeitung über diese rechtliche Anforderung, soweit das betreffende Recht eine solche Information nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Vertraulichkeit

vitonnect stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Technisch-organisatorische Maßnahmen

vitonnect trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die zum Zeitpunkt des Vertragsschlusses vorgesehenen Maßnahmen sind in Anlage 1 beschrieben.

Unterstützung des Kunden

vitonnect unterstützt den Kunden im Rahmen des Zumutbaren und Erforderlichen bei:

  • der Erfüllung von Betroffenenrechten
  • der Meldung von Verletzungen des Schutzes personenbezogener Daten
  • Datenschutz-Folgenabschätzungen
  • Konsultationen mit Aufsichtsbehörden
  • der Umsetzung von Lösch- oder Herausgabeanforderungen.

Die Unterstützung erfolgt unter Berücksichtigung der Art der Verarbeitung und der vitonnect zur Verfügung stehenden Informationen.

Keine eigenständige Zweckänderung

vitonnect verarbeitet die vom Kunden bereitgestellten personenbezogenen Daten nicht für eigene Zwecke, es sei denn, dies ist ausdrücklich vereinbart, gesetzlich erlaubt oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

Eine Nutzung von Kundenvideos zu Referenz- oder Marketingzwecken erfolgt nur nach Maßgabe der AGB und nur, soweit hierfür die erforderlichen Rechte und Voraussetzungen vorliegen.

Weisungen des Kunden

Form der Weisungen

Weisungen können insbesondere erfolgen:

  • im Kundenportal,
  • per E-Mail,
  • durch Upload, Freigabe oder Statusänderung,
  • durch Angebotsannahme,
  • durch gesonderte Mitteilung in Textform.

Unzulässige Weisungen

Ist vitonnect der Ansicht, dass eine Weisung gegen Datenschutzrecht oder sonstige gesetzliche Vorschriften verstößt, wird vitonnect den Kunden hierauf hinweisen. vitonnect ist berechtigt, die Durchführung einer offensichtlich rechtswidrigen Weisung bis zur Klärung auszusetzen.

Dokumentation

vitonnect dokumentiert wesentliche Weisungen, soweit dies technisch und organisatorisch erforderlich und angemessen ist. Weisungen, die über Standardprozesse hinausgehen, sollen in Textform erfolgen.

Vertraulichkeit und interne Zugriffsberechtigungen

Zugriffsbeschränkung

vitonnect beschränkt den Zugriff auf personenbezogene Daten des Kunden auf diejenigen Personen, die diesen Zugriff zur Erbringung der vereinbarten Leistungen benötigen.

Keine externen Freelancer zum Stand dieser AVV

Zum Stand dieser AVV setzt vitonnect keine externen Freelancer mit Zugriff auf Kundenvideos oder personenbezogene Kundendaten ein.

Sollten künftig externe Freelancer oder Subunternehmer mit Zugriff auf personenbezogene Daten eingesetzt werden, werden diese zuvor vertraglich zur Vertraulichkeit verpflichtet und, soweit erforderlich, als Subprozessoren oder eingesetzte Personen im Rahmen der AVV berücksichtigt.

Technisch-organisatorische Maßnahmen

Allgemeines

vitonnect trifft geeignete technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO. Die Maßnahmen orientieren sich an Art, Umfang, Umständen und Zwecken der Verarbeitung sowie an der Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für die Rechte und Freiheiten natürlicher Personen.

Maßnahmen

Die zum Zeitpunkt dieser AVV vorgesehenen Maßnahmen sind in Anlage 1 aufgeführt.

vitonnect ist berechtigt, technische und organisatorische Maßnahmen weiterzuentwickeln, sofern das Sicherheitsniveau insgesamt nicht unangemessen abgesenkt wird.

Unterauftragsverarbeiter und externe Dienste

Allgemeine Genehmigung

Der Kunde erteilt vitonnect eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern, soweit diese für die Erbringung der vertraglich vereinbarten Leistungen erforderlich sind und die datenschutzrechtlichen Anforderungen eingehalten werden.

Aktuelle Subprozessoren und externe Dienste

Die aktuell vorgesehenen Subprozessoren und externen Dienste ergeben sich aus Anlage 2.

Änderungen bei Subprozessoren

vitonnect informiert den Kunden über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Subprozessoren mit angemessener Frist, grundsätzlich mindestens 30 Tage vor dem geplanten Einsatz, sofern dies organisatorisch möglich ist.

Der Kunde kann aus wichtigem datenschutzrechtlichen Grund innerhalb dieser Frist widersprechen. Erfolgt ein berechtigter Widerspruch und ist eine einvernehmliche Lösung nicht möglich, können beide Parteien den betroffenen Leistungsbestandteil oder den Hauptvertrag aus wichtigem Grund kündigen, soweit die Leistung ohne den betreffenden Subprozessor nicht erbracht werden kann.

Vereinbarungen mit Subprozessoren

vitonnect schließt mit eingesetzten Subprozessoren geeignete Vereinbarungen, soweit dies nach Art. 28 DSGVO erforderlich ist, und verpflichtet diese auf ein angemessenes Datenschutzniveau.

Geplante, aber noch nicht aktive Dienste

Dienste, die noch nicht aktiv eingesetzt werden, werden nicht als aktiv eingesetzte Subprozessoren behandelt. Sie werden vor Aktivierung geprüft und bei Bedarf in die Subprozessorenliste aufgenommen.

Zum Stand dieser AVV ist Stripe für Zahlungsabwicklung noch nicht aktiv. Eine Aktivierung erfolgt erst nach gesonderter technischer und datenschutzrechtlicher Einrichtung.

Datenübermittlungen in Drittländer

Grundsatz

Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, soweit dies zur Erbringung der Leistungen erforderlich ist und eine geeignete datenschutzrechtliche Grundlage besteht.

Geeignete Garantien

Als geeignete Grundlage kommen insbesondere in Betracht:

  • ein Angemessenheitsbeschluss der Europäischen Kommission
  • Standardvertragsklauseln nach Art. 46 DSGVO
  • eine gültige Zertifizierung nach dem EU-US Data Privacy Framework, soweit anwendbar
  • sonstige nach der DSGVO zulässige Übermittlungsinstrumente.

Anbieterprüfung

vitonnect prüft bei eingesetzten Drittlandanbietern, ob geeignete Garantien bestehen. Angaben zu Anbietern, Standorten und Übermittlungsgrundlagen können sich ändern und werden im Rahmen der Subprozessorenliste gepflegt.

Unterstützung bei Betroffenenrechten

Mitwirkung

Soweit eine betroffene Person ihre Rechte gegenüber dem Kunden geltend macht und sich die Anfrage auf durch vitonnect verarbeitete Daten bezieht, unterstützt vitonnect den Kunden im Rahmen des Zumutbaren.

Dies betrifft insbesondere:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch
  • Widerruf von Einwilligungen, soweit vitonnect hiervon betroffen ist.

Direkte Anfragen an vitonnect

Geht eine Anfrage einer betroffenen Person direkt bei vitonnect ein und betrifft diese Daten, die vitonnect im Auftrag des Kunden verarbeitet, leitet vitonnect die Anfrage grundsätzlich an den Kunden weiter, sofern eine Zuordnung möglich ist und keine gesetzlichen Gründe entgegenstehen.

Verletzungen des Schutzes personenbezogener Daten

Meldung an den Kunden

vitonnect informiert den Kunden unverzüglich, sobald vitonnect eine Verletzung des Schutzes personenbezogener Daten feststellt, die Daten betrifft, die im Auftrag des Kunden verarbeitet werden.

Inhalt der Information

Die Information enthält, soweit verfügbar:

  • Art der Verletzung
  • betroffene Datenkategorien
  • betroffene Personengruppen
  • voraussichtliche Folgen
  • ergriffene oder vorgeschlagene Maßnahmen
  • verfügbare technische und organisatorische Informationen.

Unterstützung

vitonnect unterstützt den Kunden im Rahmen des Zumutbaren bei der Prüfung, Dokumentation und gegebenenfalls Meldung einer Datenschutzverletzung nach Art. 33 und 34 DSGVO.

Löschung, Rückgabe und Aufbewahrung

Grundsatz

Nach Abschluss der Verarbeitung oder nach Beendigung des Hauptvertrags löscht vitonnect personenbezogene Daten, soweit keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweiszwecke oder vertraglichen Gründe entgegenstehen.

Rohmaterial

Rohmaterial wird grundsätzlich nur so lange gespeichert, wie dies für Bearbeitung, Abstimmung, Korrekturen und Fertigstellung der jeweiligen Videos erforderlich ist.

Nach finaler Abnahme oder nach Status „Erledigt“ soll Rohmaterial gelöscht werden, soweit keine abweichende Vereinbarung besteht oder eine weitere Speicherung zur Klärung offener Fragen erforderlich ist.

Fertige Videos

Fertiggestellte Videos werden während der aktiven Vertragslaufzeit im Kundenportal bereitgestellt.

Nach Beendigung der Zusammenarbeit können fertige Videos nach Ablauf von 30 Tagen gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweiszwecke entgegenstehen.

Der Kunde ist dafür verantwortlich, fertige Videos nach Bereitstellung rechtzeitig selbst herunterzuladen und zu sichern.

Kostenlose Testvideos und Testanfragen

Bei kostenlosen Testvideo-Anfragen ohne anschließenden Vertrag können personenbezogene Daten und hochgeladenes Material bis zu 90 Tage gespeichert werden, soweit dies zur Bearbeitung der Anfrage, zur Kommunikation, zur Nachweisführung oder zur Klärung offener Fragen erforderlich ist. Danach erfolgt eine Löschung, soweit keine gesetzlichen oder berechtigten Gründe entgegenstehen.

Rechnungs- und Vertragsdaten

Rechnungsdaten, buchhalterische Unterlagen, zahlungsrelevante Informationen und steuerlich relevante Vertragsdaten werden nach den gesetzlichen Aufbewahrungsfristen gespeichert, insbesondere nach HGB und AO. Die regelmäßige Aufbewahrungsfrist kann bis zu 10 Jahre betragen.

Sperrliste gelöschter oder gesperrter E-Mail-Adressen

Wenn ein Kundenkonto auf Wunsch des Kunden deaktiviert oder gelöscht wird, kann die Login-E-Mail-Adresse in einer Sperrliste gespeichert werden, um eine erneute Registrierung mit derselben E-Mail-Adresse zu verhindern und Missbrauch, Doppelregistrierungen oder Umgehungen zu vermeiden.

Die Sperrliste wird nach dem aktuellen Löschkonzept grundsätzlich für bis zu 36 Monate gespeichert, sofern keine längere Speicherung erforderlich ist. Die Speicherung erfolgt nur in dem hierfür erforderlichen Umfang.

Rückgabe

Auf Wunsch des Kunden gibt vitonnect personenbezogene Daten, soweit technisch möglich und zumutbar, in einem gängigen Format zurück. Ein Anspruch auf Herausgabe von Projektdateien, Rohschnittdateien oder internen Arbeitsdateien besteht nur, wenn dies ausdrücklich vereinbart wurde.

Nachweise und Prüfungsrechte

Nachweise

vitonnect stellt dem Kunden auf Anfrage die erforderlichen Informationen zur Verfügung, um die Einhaltung der in dieser AVV geregelten Pflichten nachzuweisen, soweit diese Informationen verfügbar sind und keine Rechte Dritter, Betriebs- oder Geschäftsgeheimnisse oder Sicherheitsinteressen entgegenstehen.

Audits

Der Kunde ist berechtigt, die Einhaltung dieser AVV nach angemessener vorheriger Ankündigung zu prüfen oder durch einen geeigneten, zur Vertraulichkeit verpflichteten Prüfer prüfen zu lassen.

Vor-Ort-Prüfungen sind nur nach vorheriger Abstimmung, während üblicher Geschäftszeiten und unter Wahrung der Betriebsabläufe von vitonnect zulässig.

Kosten und Aufwand

Prüfungen müssen verhältnismäßig sein. Entsteht durch eine Prüfung ein erheblicher Aufwand, können die Parteien eine angemessene Kostenerstattung vereinbaren, soweit gesetzlich zulässig.

Verhältnis zum Hauptvertrag

Vorrang der AVV bei Datenschutzfragen

Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag gehen die Regelungen dieser AVV in Fragen der Auftragsverarbeitung vor.

Sonstige Regelungen

Im Übrigen gelten der Hauptvertrag, die AGB und individuelle Vereinbarungen zwischen den Parteien.

Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften, dem Hauptvertrag und den AGB, soweit diese wirksam vereinbart wurden.

Diese AVV begründet keine weitergehenden Leistungspflichten außerhalb der datenschutzrechtlichen Auftragsverarbeitung.

Änderungen dieser AVV

vitonnect kann diese AVV mit Wirkung für zukünftige Verträge oder zukünftige Verarbeitungen anpassen, insbesondere bei Änderungen der technischen Systeme, Subprozessoren, gesetzlichen Anforderungen oder internen Prozesse.

Für bestehende Vertragsverhältnisse gelten Änderungen nur, wenn sie dem Kunden mitgeteilt werden und der Kunde ihnen zustimmt oder die Änderung aus datenschutzrechtlichen, technischen oder gesetzlichen Gründen erforderlich und dem Kunden zumutbar ist.

Wesentliche Änderungen, insbesondere Änderungen bei Subprozessoren oder Drittlandübermittlungen, werden dem Kunden angemessen mitgeteilt.

Schlussbestimmungen

Textform

Änderungen und Ergänzungen dieser AVV bedürfen mindestens der Textform, sofern nicht gesetzlich eine strengere Form vorgeschrieben ist.

Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland.

Gerichtsstand

Soweit gesetzlich zulässig und beide Parteien Unternehmer sind, ist Gerichtsstand Bremen, Deutschland.

Salvatorische Regelung

Sollten einzelne Bestimmungen dieser AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gelten die gesetzlichen Regelungen.

Anlage 1: Technisch-organisatorische Maßnahmen

Zutrittskontrolle

Da vitonnect die Leistungen grundsätzlich remote und digital erbringt, erfolgt die Verarbeitung überwiegend über geschützte digitale Systeme und lokale Arbeitsgeräte.

Maßnahmen:

  • Zugriff auf Arbeitsgeräte nur durch berechtigte Personen.
  • Geräte werden durch Benutzerkonten, Passwörter, PIN, biometrische Verfahren oder vergleichbare Schutzmaßnahmen gesichert.
  • Keine öffentliche Bereitstellung von Kundendaten außerhalb der vorgesehenen Systeme.
  • Keine Nutzung öffentlich frei zugänglicher Speicherorte für Kundenvideos.

Zugangskontrolle

Maßnahmen:

  • Zugriff auf das Kundenportal nur über authentifizierte Benutzerkonten.
  • Passwortgeschützte Zugänge.
  • Speicherung von Passwörtern ausschließlich in gehashter Form, soweit Passwörter durch vitonnect-Systeme verarbeitet werden.
  • Rollen- und Rechtekonzept für Kunden, Admins und interne Benutzer.
  • Zugriffsbeschränkung auf Adminbereiche.
  • Zeitlich begrenzte Sitzungen oder Tokens, soweit technisch umgesetzt.
  • Schutz gegen missbräuchliche Login-Versuche, z. B. durch technische Begrenzungen, soweit eingerichtet.

Zugriffskontrolle

Maßnahmen:

  • Mandantentrennung zwischen Kundendaten.
  • Zugriff auf Kundendaten nur für berechtigte Admins und technisch erforderliche Systemkomponenten.
  • Kunden sehen nur ihre eigenen Daten, Videos, Slots, Rechnungen und Projektdaten.
  • Interne Zugriffe erfolgen nur, soweit sie zur Leistungserbringung, Fehlerbehebung, Abrechnung oder Kundenbetreuung erforderlich sind.
  • Verwendung signierter oder zeitlich begrenzter Links für Dateiabrufe, soweit technisch umgesetzt.
  • Keine Freigabe von Downloadmöglichkeiten vor dem vorgesehenen Status, soweit systemseitig umgesetzt.

Weitergabekontrolle

Maßnahmen:

  • Übertragung personenbezogener Daten grundsätzlich verschlüsselt über HTTPS/TLS.
  • Keine bewusste Weitergabe an unbefugte Dritte.
  • Einsatz von Subprozessoren nur nach Maßgabe dieser AVV.
  • Beschränkung von E-Mail-Inhalten auf erforderliche Informationen.
  • Rechnungen und wichtige Dokumente werden über vorgesehene Kanäle bereitgestellt.
  • Bei Download-Links wird die Gültigkeit technisch beschränkt, soweit eingerichtet.

Eingabekontrolle und Nachvollziehbarkeit

Maßnahmen:

  • Dokumentation wesentlicher Kunden- und Systemaktionen, soweit technisch eingerichtet.
  • Speicherung rechtlicher Bestätigungen im Kundenportal, insbesondere AGB, Datenschutzhinweise, Unternehmerbestätigung und AVV, mit Zeitstempel, Version und bestätigendem Benutzer, soweit technisch umgesetzt.
  • Nachvollziehbarkeit von Uploads, Statusänderungen, Freigaben und Rechnungsstatus, soweit technisch umgesetzt.
  • Admin-Aktionen werden im Rahmen der technischen Möglichkeiten protokolliert.

Auftragskontrolle

Maßnahmen:

  • Verarbeitung personenbezogener Daten nur nach Weisung des Kunden.
  • Einsatz von Subprozessoren nur nach Maßgabe dieser AVV.
  • Abschluss geeigneter Vereinbarungen mit eingesetzten Subprozessoren, soweit erforderlich.
  • Interne Beschränkung der Verarbeitung auf vertraglich vereinbarte Zwecke.
  • Keine Nutzung von Kundendaten zu eigenen Zwecken außerhalb vereinbarter oder gesetzlich zulässiger Fälle.

Verfügbarkeitskontrolle

Maßnahmen:

  • Nutzung professioneller Cloud- und Plattformanbieter.
  • Backups durch eingesetzte Anbieter gemäß dem jeweils gewählten technischen Plan.
  • Schutz vor unbeabsichtigter Zerstörung oder Verlust im Rahmen der verfügbaren Anbieterfunktionen.
  • Technische Wiederherstellungsmöglichkeiten im Rahmen der genutzten Systeme und Anbieterleistungen.
  • Lokale Arbeitsgeräte werden angemessen geschützt.

Trennungsgebot

Maßnahmen:

  • Technische Trennung von Kundendaten durch Kunden- oder Mandantenkennungen.
  • Getrennte Benutzerkonten und Rollen.
  • Trennung von Admin- und Kundenbereichen.
  • Trennung von Vertrags-, Rechnungs-, Upload-, Video- und Statusdaten im Rahmen der Systemarchitektur.

Lösch- und Aufbewahrungskonzept

Maßnahmen:

  • Löschung von Rohmaterial nach finaler Abnahme beziehungsweise Status „Erledigt“, soweit keine Gründe für eine weitere Speicherung bestehen.
  • Löschung fertiger Videos grundsätzlich 30 Tage nach Vertragsende, soweit keine Gründe für eine weitere Speicherung bestehen.
  • Speicherung von Testvideo-Anfragen ohne Vertrag grundsätzlich bis zu 90 Tage.
  • Speicherung steuerlich relevanter Rechnungs- und Vertragsdaten nach gesetzlichen Aufbewahrungsfristen.
  • Speicherung gesperrter E-Mail-Adressen grundsätzlich bis zu 36 Monate.
  • Manuelle und/oder automatisierte Löschprozesse je nach Datenkategorie und technischer Umsetzung.

Vertraulichkeit und Personal

Maßnahmen:

  • Zugriff nur durch berechtigte Personen.
  • Verpflichtung eingesetzter Personen zur Vertraulichkeit.
  • Keine externen Freelancer mit Zugriff auf Kundendaten zum Stand dieser AVV.
  • Bei künftigem Einsatz externer Personen vorherige vertragliche Verpflichtung und Prüfung der datenschutzrechtlichen Anforderungen.

Lokale Bearbeitung und Kreativtools

Maßnahmen:

  • Videobearbeitung kann lokal auf eigenen Arbeitsgeräten erfolgen, insbesondere mit professioneller Schnittsoftware.
  • Soweit Adobe Premiere Pro lokal genutzt wird, erfolgt nach aktuellem Stand keine Speicherung von Kundenvideos über Adobe Creative Cloud Synchronisierung und kein Einsatz von Frame.io.
  • Soweit CapCut Desktop lokal, CapCut Web/Mobile/Cloud oder CapCut-KI-Funktionen eingesetzt werden, erfolgt dies nur im Rahmen der Leistungserbringung und unter Berücksichtigung der jeweils geltenden Datenschutz- und Anbieterbedingungen.
  • Der konkrete Einsatz cloudbasierter Kreativtools ist im Rahmen der Subprozessoren- und Anbieterprüfung zu berücksichtigen.

Sicherheitsprüfung und Weiterentwicklung

Maßnahmen:

  • Regelmäßige Überprüfung der eingesetzten Tools und Zugriffsrechte im Rahmen der organisatorischen Möglichkeiten.
  • Anpassung technischer Maßnahmen bei wesentlichen Änderungen der Systemarchitektur.
  • Fehlerbehebung und Sicherheitsverbesserungen im Rahmen der laufenden Entwicklung des Kundenportals.

Anlage 2: Subprozessoren und externe Dienste

Diese Anlage beschreibt die zum Stand dieser AVV vorgesehenen Subprozessoren und externen Dienste. Der konkrete Einsatz kann je nach gebuchter Leistung, technischer Konfiguration und Projekt variieren.

Google Ireland Limited / Google Cloud

Zweck:

  • Cloud-Infrastruktur
  • Speicherung von Dateien
  • technische Bereitstellung von Funktionen
  • Logging
  • Authentifizierung beziehungsweise Google Login, soweit eingesetzt.

Mögliche Dienste:

  • Google Cloud Storage
  • Google Cloud Run
  • Google Cloud Logging
  • Google OAuth / Google Login.

Datenarten:

  • Kunden- und Nutzungsdaten
  • hochgeladene Dateien
  • Videomaterial
  • technische Logs
  • Authentifizierungsdaten.

Verarbeitungsort:

EU-Regionen, insbesondere europe-west1, soweit technisch entsprechend konfiguriert, oder die jeweils konkret konfigurierte Google-Cloud-Region.

Hinweis:

Die konkrete Region und die abgeschlossenen Datenschutzbedingungen sind technisch und organisatorisch zu dokumentieren.

Supabase, Inc.

Zweck:

  • Datenbank
  • Backend-nahe Plattformfunktionen
  • Speicherung und Verwaltung von Kunden-, Portal-, Status- und Vertragsdaten
  • gegebenenfalls Authentifizierungs- oder Systemfunktionen, soweit eingesetzt.

Datenarten:

  • Kundenstammdaten
  • Benutzerkonten
  • Vertrags- und Paketinformationen
  • Statusdaten
  • rechtliche Bestätigungen
  • technische Datensätze des Kundenportals.

Verarbeitungsort:

Nach aktueller Planung AWS eu-west-2 / London, Vereinigtes Königreich, sofern das Projekt entsprechend konfiguriert ist.

Hinweis:

Das Vereinigte Königreich verfügt derzeit über einen Angemessenheitsbeschluss der Europäischen Kommission. Die konkrete Projektregion ist zu prüfen und zu dokumentieren.

Resend, Inc.

Zweck:

  • Versand transaktionaler E-Mails
  • Systembenachrichtigungen
  • Rechnungs- und Portalhinweise
  • Bestätigungs- und Status-E-Mails.

Datenarten:

  • E-Mail-Adresse
  • Name
  • Unternehmensbezug
  • E-Mail-Inhalte
  • technische Versandinformationen.

Verarbeitungsort:

Je nach Anbieterstruktur EU/USA oder andere Anbieterstandorte.

Übermittlungsgrundlage:

Geeignete Garantien nach DSGVO, insbesondere Standardvertragsklauseln oder EU-US Data Privacy Framework, soweit anwendbar und vom Anbieter bereitgestellt.

Hinweis:

Die Nutzung erfolgt auf Grundlage geeigneter datenschutzrechtlicher Vereinbarungen und Übermittlungsgrundlagen, soweit Resend personenbezogene Daten im Auftrag von vitonnect verarbeitet.

Cal.com, Inc.

Zweck:

  • Terminbuchung
  • Organisation von Erstgesprächen, Beratungsterminen oder Kundenterminen.

Datenarten:

  • Name
  • E-Mail-Adresse
  • Termindaten
  • optionale Angaben aus Buchungsformularen.

Verarbeitungsort:

Je nach Anbieterstruktur EU/USA oder andere Anbieterstandorte.

Übermittlungsgrundlage:

Geeignete Garantien nach DSGVO, insbesondere Standardvertragsklauseln oder EU-US Data Privacy Framework, soweit anwendbar und vom Anbieter bereitgestellt.

Hinweis:

Cal.com betrifft in der Regel Termin- und Kontaktdaten, nicht hochgeladenes Videomaterial. Die Nutzung erfolgt auf Grundlage geeigneter datenschutzrechtlicher Vereinbarungen und Übermittlungsgrundlagen, soweit Cal.com personenbezogene Daten im Auftrag von vitonnect verarbeitet.

Microsoft Ireland Operations Limited / Microsoft 365 / OneDrive

Zweck:

  • interne Dateiablage
  • Organisation und Verwaltung von projektbezogenen Unterlagen
  • Speicherung oder Bereitstellung von Dateien, Rechnungsunterlagen oder Freigabelinks, soweit im Einzelfall genutzt.

Datenarten:

  • Dateinamen
  • gespeicherte oder bereitgestellte Dateien
  • Rechnungs- und Vertragsunterlagen
  • projektbezogene Organisationsdaten
  • technische Zugriffsdaten
  • Kommunikations- und Freigabeinformationen.

Verarbeitungsort:

Europäische Union bzw. Europäischer Wirtschaftsraum, soweit entsprechend konfiguriert, sowie weitere Anbieterstandorte nach Maßgabe der Microsoft-Datenschutz- und Auftragsverarbeitungsbedingungen.

Übermittlungsgrundlage:

Geeignete Garantien nach DSGVO, insbesondere EU-Standardvertragsklauseln und/oder eine Zertifizierung unter dem EU-US Data Privacy Framework, soweit anwendbar.

Hinweis:

Microsoft-Dienste werden nur eingesetzt, soweit dies zur internen Organisation, sicheren Dateiablage oder Vertragsdurchführung erforderlich ist.

CapCut / ByteDance-Unternehmensgruppe, soweit eingesetzt

Zweck:

  • Videobearbeitung
  • Erstellung oder Unterstützung von Untertiteln
  • Nutzung von KI- oder Automatisierungsfunktionen
  • Bearbeitung von Kundenvideos in Desktop-, Web-, Mobile- oder Cloud-Funktionen, soweit im konkreten Projekt genutzt.

Datenarten:

  • Videomaterial
  • Bild- und Tonaufnahmen
  • erkennbare oder hörbare Personen
  • Untertitel- oder Transkriptinhalte
  • technische Medieninformationen.

Verarbeitungsort:

Je nach Anbieterstruktur und Produktkonfiguration.

Übermittlungsgrundlage:

Geeignete Garantien nach DSGVO, soweit erforderlich und vom Anbieter bereitgestellt.

Hinweis:

Der konkrete Einsatz von CapCut Web, Mobile, Cloud und CapCut-KI-Funktionen erfolgt nur, soweit dies für die Leistungserbringung erforderlich oder mit dem Kunden abgestimmt ist. Soweit Kundenvideos mit personenbezogenen Daten in CapCut hochgeladen oder cloudbasiert verarbeitet werden, wird der Dienst in der Datenschutz- und Subprozessorenprüfung besonders berücksichtigt.

Stripe Payments Europe Ltd. / Stripe-Gruppe

Status:

Derzeit nicht aktiv für Zahlungsabwicklung eingesetzt.

Zweck bei späterer Aktivierung:

  • Zahlungsabwicklung
  • Rechnungs- oder Subscription-Zahlungen
  • Zahlungsstatus
  • Zahlungsbestätigungen.

Hinweis:

Stripe wird erst nach Aktivierung als aktiver Subprozessor berücksichtigt. Vor Aktivierung sind DPA, Anbieterinformationen, Datenflüsse und Datenschutzhinweise zu prüfen und zu dokumentieren.