Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO (AVV)
Stand: 27.05.2026 - Version 2.1
Elektronischer Vertragsschluss
Dieser AVV wird in Textform gemäß § 126b BGB geschlossen. Der Vertrag kommt zustande, sobald der Auftraggeber im Kundenkonto unter „Rechtliches" die jeweils gültige Fassung dieses AVV mit Klick-Bestätigung ausdrücklich annimmt. Annahmezeitpunkt, IP-Adresse und Versionsstand werden vom Auftragnehmer für Nachweiszwecke protokolliert. Ohne abgeschlossenen AVV werden Funktionen, bei denen personenbezogene Daten von Bewerbern oder anderen Betroffenen verarbeitet werden, nicht freigeschaltet.
Präambel
Dieser Auftragsverarbeitungsvertrag („AVV") wird geschlossen zwischen:
Auftraggeber (Verantwortlicher)
Der Kunde
Nutzer der SaaS-Plattform „HandwerkerJobKit", identifiziert durch die im Kundenkonto hinterlegten Stammdaten
Auftragnehmer (Auftragsverarbeiter)
Independence Technologies LLC
30 N Gould St Ste N, Sheridan, WY 82801, USA
betrieben als „HandwerkerJobKit"
Auftraggeber und Auftragnehmer werden nachfolgend einzeln „Partei" und gemeinsam „Parteien" genannt.
Die Parteien haben einen Hauptvertrag über die Nutzung der SaaS-Plattform „HandwerkerJobKit" (nachfolgend „Hauptvertrag") geschlossen, dessen Bedingungen sich aus der Tarifbuchung sowie den Allgemeinen Geschäftsbedingungen (handwerkerjobkit.de/agb) ergeben. Im Rahmen dieses Hauptvertrags verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers. Für diese Verarbeitung gelten die nachfolgenden Regelungen.
§ 1 Gegenstand und Dauer der Auftragsverarbeitung
1.1 Gegenstand
Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der SaaS-Plattform „HandwerkerJobKit" für die in Anlage 1 dieses AVV beschriebenen Zwecke.
1.2 Dauer
Dieser AVV beginnt mit der ausdrücklichen Annahme durch den Auftraggeber im Kundenkonto und endet mit Beendigung des Hauptvertrags. Die nach Beendigung fortgeltenden Pflichten (insbesondere § 13 dieses AVV) bleiben davon unberührt.
§ 2 Art, Zweck, Kategorien betroffener Daten
Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen sind abschließend in Anlage 1 dieses AVV geregelt.
§ 3 Pflichten des Auftraggebers
3.1 Datenschutzrechtliche Verantwortlichkeit
Der Auftraggeber ist im Verhältnis zum Auftragnehmer allein verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen.
3.2 Pflichten im Einzelnen
- Erteilung aller erforderlichen Weisungen in Textform oder im vorgesehenen elektronischen Workflow der Plattform
- Erfüllung der Informationspflichten gegenüber Bewerbern und anderen Betroffenen nach Art. 13, 14 DSGVO
- Einholung der erforderlichen Einwilligungen, soweit die Verarbeitung auf Einwilligung gestützt wird
- Beachtung gesetzlicher Aufbewahrungs- und Löschfristen, insbesondere für Bewerberdaten
- Benennung eines Ansprechpartners für Datenschutzfragen gegenüber dem Auftragnehmer
- Unverzügliche Information des Auftragnehmers, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt
§ 4 Weisungsrecht
4.1 Verarbeitung nur auf Weisung
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, einschließlich in Bezug auf die Übermittlung in Drittländer. Dies gilt nicht, wenn der Auftragnehmer durch das Recht der Europäischen Union oder eines Mitgliedstaats zur Verarbeitung verpflichtet ist. In diesem Fall teilt er dem Auftraggeber die rechtlichen Anforderungen vor der Verarbeitung mit, sofern dies nicht gesetzlich untersagt ist.
4.2 Erteilung von Weisungen
Weisungen werden in Textform an kontakt@handwerkerjobkit.de oder über die in der Plattform vorgesehenen Konfigurationsfunktionen erteilt. Die Standardweisung ergibt sich aus den im Kundenkonto vorgenommenen Konfigurationen (zum Beispiel aktivierten Multiposting-Kanälen, hinterlegten Aufbewahrungsfristen, AGG-Filtern).
4.3 Hinweis bei rechtswidrigen Weisungen
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung einer entsprechenden Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber auszusetzen.
§ 5 Vertraulichkeit und Personal
Der Auftragnehmer verpflichtet alle mit der Verarbeitung der Daten des Auftraggebers betrauten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit und macht sie mit den einschlägigen datenschutzrechtlichen Vorschriften vertraut. Die Vertraulichkeitspflicht besteht auch nach Beendigung der Tätigkeit fort.
Der Auftragnehmer stellt sicher, dass der Zugriff auf personenbezogene Daten des Auftraggebers auf Personen beschränkt ist, die diesen zur Erfüllung ihrer vertraglichen Verpflichtungen benötigen.
§ 6 Sicherheit der Verarbeitung
Der Auftragnehmer trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zum Schutz der personenbezogenen Daten. Die zum Zeitpunkt des Vertragsschlusses umgesetzten TOM sind in Anlage 2 dieses AVV beschrieben.
Der Auftragnehmer überprüft die Wirksamkeit der TOM regelmäßig und passt sie an den Stand der Technik, die Umsetzungskosten, die Art, den Umfang, die Umstände und Zwecke der Verarbeitung sowie an die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der Risiken an. Wesentliche Änderungen, die das Schutzniveau berühren, werden dem Auftraggeber rechtzeitig in Textform mitgeteilt und in einer aktualisierten Anlage 2 dokumentiert.
§ 7 Unterstützung des Auftraggebers
7.1 Anfragen betroffener Personen
Der Auftragnehmer unterstützt den Auftraggeber, soweit dies im Rahmen der bereitgestellten Plattform möglich und wirtschaftlich angemessen ist, bei der Erfüllung der Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch).
Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser das Anliegen unverzüglich an den Auftraggeber weiter und antwortet der betroffenen Person nicht inhaltlich, sofern dies datenschutzrechtlich nicht zulässig ist.
7.2 Pflichten nach Art. 32 bis 36 DSGVO
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung und Benachrichtigung bei Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
7.3 Vergütung
Unterstützungsleistungen, die über den vertraglich geschuldeten Standardumfang hinausgehen und einen wesentlichen Mehraufwand verursachen, vergütet der Auftraggeber nach Aufwand. Der Auftragnehmer kündigt den voraussichtlichen Aufwand vor der Durchführung an und informiert den Auftraggeber, falls die Leistung kostenpflichtig ist.
§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, die den Auftraggeber betreffen, unverzüglich nach Bekanntwerden, spätestens innerhalb von 48 Stunden. Die Meldung enthält nach Möglichkeit:
- eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und ungefähren Zahl der betroffenen Personen und Datensätze
- den Namen und die Kontaktdaten des Ansprechpartners beim Auftragnehmer
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls zur Abmilderung ihrer Folgen
Liegen die Informationen nicht vollständig vor, erfolgt eine schrittweise Aktualisierung der Meldung in angemessenen Intervallen. Die Meldepflicht des Auftraggebers gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und gegenüber betroffenen Personen (Art. 34 DSGVO) bleibt unberührt und obliegt allein dem Auftraggeber.
§ 9 Unterauftragsverhältnisse
9.1 Allgemeine Genehmigung
Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, die in Anlage 3 aufgeführten Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten zu beauftragen.
9.2 Änderungen und Widerspruchsrecht
Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter mindestens 30 Tage vor Wirksamwerden in Textform (per E-Mail an die hinterlegte Kontaktadresse oder per prominenter Mitteilung im Kundenkonto). Der Auftraggeber hat das Recht, gegen entsprechende Änderungen aus wichtigem Grund (insbesondere datenschutzrechtliche Bedenken) innerhalb von 30 Tagen Einspruch zu erheben.
Im Fall eines berechtigten Einspruchs werden Auftragnehmer und Auftraggeber gemeinsam eine Lösung suchen. Kann eine einvernehmliche Lösung nicht erreicht werden, steht beiden Parteien ein Sonderkündigungsrecht des Hauptvertrags zum Zeitpunkt des geplanten Wirksamwerdens der Änderung zu.
9.3 Vertragliche Pflichten der Unterauftragsverarbeiter
Der Auftragnehmer wird mit jedem Unterauftragsverarbeiter einen Vertrag schließen, der diesen mindestens auf die in diesem AVV geregelten Datenschutzpflichten verpflichtet, insbesondere auf die Anforderungen des Art. 28 Abs. 3 DSGVO. Bei Unterauftragsverarbeitern außerhalb der EU oder des EWR werden zusätzlich geeignete Garantien nach Art. 44 ff. DSGVO sichergestellt (insbesondere EU-Standardvertragsklauseln, Zertifizierungen oder Adequacy-Entscheidungen).
9.4 Haftung für Unterauftragsverarbeiter
Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der datenschutzrechtlichen Pflichten durch von ihm beauftragte Unterauftragsverarbeiter wie für eigenes Handeln.
§ 10 Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, sich von der Einhaltung der vertraglichen Pflichten des Auftragnehmers in angemessenem Umfang zu überzeugen. Dies kann insbesondere erfolgen durch:
- Vorlage aktueller Zertifikate, Berichte über Compliance-Audits oder vergleichbarer Nachweise
- Bereitstellung schriftlicher Auskünfte des Auftragnehmers in Textform
- nach vorheriger Terminvereinbarung und mit angemessener Frist von in der Regel mindestens 30 Tagen Vor-Ort-Inspektionen der relevanten Verarbeitungsstätten zu üblichen Geschäftszeiten
Die Inspektion erfolgt unter Wahrung der Geschäftsgeheimnisse und der Vertraulichkeit anderer Kundendaten und darf den laufenden Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen. Kosten und Aufwand einer Vor-Ort-Inspektion trägt der Auftraggeber, soweit keine wesentlichen Verstöße des Auftragnehmers festgestellt werden.
Bei berechtigtem Interesse (insbesondere konkretem Verdacht auf einen Verstoß) ist auch eine kurzfristige Prüfung zulässig.
§ 11 Drittlandsübermittlung
Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt ausschließlich, soweit dies in Anlage 3 dieses AVV ausdrücklich ausgewiesen ist und auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO erfolgt.
Der Auftragnehmer dokumentiert die jeweils gewählte Garantie (insbesondere EU-Standardvertragsklauseln, Adequacy-Entscheidung, Zertifizierung nach Data Privacy Framework) und stellt sie dem Auftraggeber auf Anfrage zur Verfügung.
§ 12 Haftung
Die Haftung der Parteien aus oder im Zusammenhang mit diesem AVV bestimmt sich nach Art. 82 DSGVO sowie den Haftungsregelungen des Hauptvertrags (§ 9 AGB), soweit die DSGVO keine abweichenden Regelungen enthält.
Die Parteien verpflichten sich, einander unverzüglich zu informieren, wenn ein Bußgeldverfahren oder eine sonstige aufsichtsrechtliche Maßnahme im Zusammenhang mit der Verarbeitung eingeleitet wird, soweit dies rechtlich zulässig ist.
§ 13 Beendigung und Rückgabe oder Löschung von Daten
Nach Beendigung des Hauptvertrags wird der Auftragnehmer dem Auftraggeber sämtliche im Auftrag verarbeiteten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen, soweit der Auftraggeber dies bis zum Vertragsende anfordert (Datenexport über die im Kundenkonto bereitgestellten Export-Funktionen).
Spätestens 30 Tage nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers einschließlich vorhandener Kopien, sofern nicht eine gesetzliche Verpflichtung zur Aufbewahrung besteht. Die Löschung wird dem Auftraggeber auf Anfrage in Textform bestätigt.
Aufbewahrungspflichten nach Handels-, Steuer- oder anderem zwingenden Recht (insbesondere §§ 147 AO, 257 HGB) bleiben unberührt. Daten, die solchen Pflichten unterliegen, werden für die Dauer der Aufbewahrungspflicht eingeschränkt verarbeitet und nach Ablauf der Frist gelöscht.
§ 14 Schlussbestimmungen
14.1 Vorrangregel
Bei Widersprüchen zwischen den Regelungen dieses AVV und denen des Hauptvertrags gehen die Regelungen dieses AVV vor, soweit sie datenschutzrechtliche Fragestellungen betreffen.
14.2 Anwendbares Recht und Gerichtsstand
Auf diesen AVV findet das Recht der Bundesrepublik Deutschland Anwendung. Gerichtsstand ist Hamburg, soweit die Voraussetzungen des § 38 ZPO vorliegen.
14.3 Erhaltungsklausel
Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt (§ 306 Abs. 1 BGB). An die Stelle unwirksamer Klauseln treten die gesetzlichen Bestimmungen (§ 306 Abs. 2 BGB).
14.4 Aktualisierungen
Der Auftragnehmer ist berechtigt, diesen AVV anzupassen, soweit dies aus zwingenden rechtlichen Gründen (insbesondere Änderungen der DSGVO oder höchstrichterlicher Rechtsprechung) oder aufgrund wesentlicher Änderungen der eingesetzten Technologien oder Unterauftragsverarbeiter erforderlich ist. Wesentliche Änderungen werden dem Auftraggeber mit einer Frist von mindestens 30 Tagen in Textform angekündigt. Im Falle eines berechtigten Einspruchs des Auftraggebers gilt § 10 AGB entsprechend.
Anlage 1: Beschreibung der Auftragsverarbeitung
gemäß Art. 28 Abs. 3 DSGVO
A.1.1 Art und Zweck der Verarbeitung
- Erfassen, Speichern, Anzeigen und Verwalten von Stellenanzeigen des Auftraggebers
- Empfangen, Speichern, Anzeigen und Verwalten von Bewerbungen, einschließlich Lebensläufen, Anschreiben und Anhängen
- Bereitstellung einer öffentlichen Karriereseite des Auftraggebers
- Versand von Bewerbungs- und Status-Benachrichtigungen an Bewerber und an den Auftraggeber
- Unterstützung bei der Auswertung von Bewerbungen über das Bewerbermanagement-Dashboard
- Bereitstellung von KI-gestützten Funktionen zur Erstellung von Stellenanzeigen, Social-Media-Texten und Portaltexten
- Bereitstellung optionaler Multiposting-Funktionen (LinkedIn, Google Business Profile, Facebook, Instagram, WhatsApp), soweit vom Auftraggeber aktiviert
- Bereitstellung optionaler Talentpool-Funktionen (Verwaltung interessierter Kandidaten mit Opt-in)
A.1.2 Art der personenbezogenen Daten
- Stammdaten (Name, Vorname, Anrede, akademischer Titel)
- Kontaktdaten (E-Mail-Adresse, Telefonnummer, Postanschrift, optional WhatsApp-Nummer)
- Bewerbungsbezogene Daten (Lebenslauf, Anschreiben, Zeugnisse, Qualifikationen, Berufserfahrung, Verfügbarkeit)
- Bewerbungsverlauf und Status (Eingangsdatum, Bewertungen, Notizen, Kommunikationshistorie)
- Optional: Profilbild, Portfolio-Links, Social-Media-Profile (sofern vom Bewerber angegeben)
- Optional: Sprachdiktate bei Voice-Input-Nutzung (verarbeitet durch Azure Speech, sobald aktiviert)
- Technische Daten zur Bewerbung (IP-Adresse, Zeitpunkt, Browser-Agent, UTM-Parameter)
A.1.3 Kategorien betroffener Personen
- Bewerberinnen und Bewerber des Auftraggebers
- Im Talentpool registrierte Interessenten (mit Opt-in)
- Mitarbeiterinnen und Mitarbeiter des Auftraggebers, soweit sie das Kundenkonto bedienen
- Empfänger von Stellenanzeigen über Karriereseite, Social-Media-Kanäle und Job-Portale
A.1.4 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Konkrete Speicherdauern für einzelne Datenkategorien sind in der Datenschutzerklärung (/datenschutz) geregelt. Insbesondere werden Bewerberdaten spätestens 6 Monate nach abgeschlossener Bewerbung gelöscht, soweit der Bewerber nicht in den Talentpool aufgenommen wurde oder ein Beschäftigungsverhältnis zustande kommt.
Anlage 2: Technische und organisatorische Maßnahmen (TOM)
gemäß Art. 32 DSGVO, Stand 27.05.2026
A.2.1 Pseudonymisierung und Verschlüsselung
- Transportverschlüsselung über TLS 1.3 (HTTPS) für alle Verbindungen
- Verschlüsselung der Datenbank- und Storage-Inhalte „at rest" durch die Cloudflare-Infrastruktur (D1, R2)
- Passwörter werden ausschließlich als gesalzene Hashes (bcrypt oder vergleichbar) gespeichert, nicht im Klartext
- Automatische Pseudonymisierung von E-Mail-Adressen, Telefonnummern, IBAN und kontaktnahen Namen vor der Übermittlung an KI-Provider (PII-Gateway)
- API-Tokens werden verschlüsselt in der Datenbank abgelegt
A.2.2 Vertraulichkeit (Zutritts-, Zugangs-, Zugriffskontrolle)
- Rechenzentren der Unterauftragsverarbeiter mit zertifizierten physischen Sicherheitsmaßnahmen (ISO 27001 oder vergleichbar)
- Authentifizierung über Auth.js v5 mit Session-Cookies (httpOnly, Secure)
- Rollenbasierte Zugriffskontrolle im Mehrnutzer-Modell (BUSINESS-Tarif)
- Trennung von Kundendaten auf Anwendungsebene (Mandantentrennung über Company-ID)
- Plattform-internes Berechtigungskonzept beschränkt den Zugang auf das funktional Erforderliche
- Verpflichtung aller Personen mit Zugang zu personenbezogenen Daten auf Vertraulichkeit gemäß § 5 dieses AVV
A.2.3 Integrität (Weitergabe-, Eingabekontrolle)
- Web Application Firewall (Cloudflare WAF) als Schutz vor gängigen Angriffen (SQL-Injection, XSS)
- CSRF-Token bei zustandsändernden Aktionen
- Audit-Logs für sicherheitsrelevante Ereignisse (Login, Datenexport, Account-Änderungen)
- Versionierung relevanter Konfigurationsänderungen über das Kundenkonto
- Prüfsummen oder vergleichbare Mechanismen bei Datei-Uploads (Asset-Bibliothek)
A.2.4 Verfügbarkeit und Belastbarkeit
- Redundante Hosting-Infrastruktur über Cloudflare Pages und Cloudflare D1 mit automatischem Failover
- Tägliche automatisierte Backups mit dokumentierter Wiederherstellungs-Strategie
- DDoS-Schutz auf Netzwerkebene durch Cloudflare
- Monitoring der Verfügbarkeit mit automatischem Alerting bei Ausfällen
- Angestrebte Mindest-Verfügbarkeit gemäß § 7.1 der AGB (97 Prozent im Monatsmittel)
A.2.5 Verfahren zur regelmäßigen Überprüfung
- Regelmäßige Überprüfung der eingesetzten Software-Komponenten auf Sicherheitsupdates
- Dokumentation der Sicherheitsvorfälle in einem internen Vorfall-Register
- Periodische Überprüfung der Sub-Prozessoren auf Einhaltung ihrer DSGVO-Pflichten
- Mindestens jährliche Überprüfung der hier dokumentierten TOM
A.2.6 Auftragskontrolle
- Schriftliche oder elektronische Vertragsabschlüsse mit allen Unterauftragsverarbeitern
- Auswahl der Unterauftragsverarbeiter nach DSGVO-Konformität und EU-Schwerpunkt
- Dokumentation der jeweils geltenden Datenübermittlungs-Garantien
Hinweis: Diese TOM-Beschreibung wird laufend aktualisiert. Wesentliche Änderungen werden dem Auftraggeber gemäß § 6 dieses AVV mitgeteilt.
Anlage 3: Verzeichnis der Unterauftragsverarbeiter
Stand 27.05.2026, Version 2.1
| Anbieter | Zweck | Standort | Drittland-Garantie |
|---|---|---|---|
| Cloudflare, Inc. | Hosting, Datenbank (D1), Storage (R2), CDN, DDoS-Schutz | USA mit EU-Edge | EU-US Data Privacy Framework und SCC |
| Sendinblue GmbH (Brevo) | E-Mail-Versand, Drip-Sequenzen | Berlin, Deutschland | EU (keine Drittland-Übermittlung) |
| Mistral AI SAS | KI-Textgenerierung (Stellenanzeigen, Social-Media-Texte) | Paris, Frankreich | EU (keine Drittland-Übermittlung) |
| LinkedIn Ireland Unlimited Company (optional) | LinkedIn Auto-Post (BUSINESS, nur nach Aktivierung durch Kunden) | Dublin, Irland (mit USA-Übermittlung) | EU-US Data Privacy Framework und SCC |
Hinweis Zahlungsabwicklung: Die Zahlungsabwicklung und Rechnungsstellung erfolgt über die Vertriebsplattform DigiStore24 GmbH, St.-Godehard-Straße 32, 31139 Hildesheim, Deutschland. DigiStore24 agiert hierbei nicht als Auftragsverarbeiter des Anbieters, sondern als eigenständiger Verantwortlicher im Rahmen des Reseller-Modells: Der Kaufvertrag kommt zwischen dem Endkunden und DigiStore24 zustande. Für das in die Website des Anbieters eingebundene Bestellformular sind Anbieter und DigiStore24 gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO (vertraglich geregelt über die DigiStore24-Vendor-AGB, Anlage 1). Die im Zuge der Zahlungsabwicklung erhobenen Daten unterliegen nicht diesem AVV. Datenschutzinformationen von DigiStore24 sind auf der offiziellen Anbieterwebsite abrufbar.
Geplante Unterauftragsverarbeiter (noch nicht aktiv)
Folgende Anbieter sind für die spätere Aktivierung vorgesehen. Eine tatsächliche Einbindung erfolgt erst nach gesonderter Mitteilung gemäß § 9.2 dieses AVV und nach Abschluss eines AVV mit dem jeweiligen Anbieter:
| Anbieter | Zweck (geplant) | Standort |
|---|---|---|
| Microsoft Azure (Speech Services) | Voice-Input (Diktieren), EU-Region Frankfurt | Frankfurt, Deutschland |
| 360dialog GmbH | WhatsApp Business Platform | Berlin, Deutschland |
| Meta Platforms Ireland Limited (optional) | Facebook- und Instagram-Inhalte vorbereiten (BUSINESS, nur nach Aktivierung) | Dublin, Irland (mit USA-Übermittlung) |
| Google Ireland Limited (optional) | Google Business Profile (optional) | Dublin, Irland (mit USA-Übermittlung) |
Ende des Dokuments - Version 2.1 vom 27.05.2026