Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) regelt gemäß Art. 28 DSGVO die Auftragsverarbeitung personenbezogener Daten im Rahmen der Nutzung der Luminara AI.

1. Vertragsgegenstand

Der Auftragnehmer (Luminara AI) verarbeitet im Auftrag des Auftraggebers (Kunde) personenbezogene Daten zur Bereitstellung der AI-Visibility-Services. Der Auftragnehmer wird die personenbezogenen Daten ausschließlich im Rahmen der Weisungen des Auftraggebers verarbeiten.

2. Gegenstand und Dauer der Verarbeitung

2.1 Art und Zweck der Datenverarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten zum Zweck der:

  • Bereitstellung und Verwaltung des Luminara AI Services
  • Speicherung und Verarbeitung von Produktdaten
  • Generierung und Bereitstellung von JSON-LD-Structured Data
  • Validierung und Quality-Scoring von Produktinformationen
  • E-Mail-Benachrichtigungen und Support-Kommunikation

2.2 Kategorien betroffener Personen

  • Kunden (Nutzer der Plattform)
  • Endkunden des Auftraggebers (sofern in Produktdaten enthalten)

2.3 Kategorien verarbeiteter Daten

  • Stammdaten (Name, Firmenname, E-Mail-Adresse)
  • Vertragsdaten (Tarif, Nutzungsdauer, Zahlungsstatus)
  • Produktdaten (Produktbezeichnungen, Preise, Beschreibungen, URLs)
  • Nutzungsdaten (Login-Zeitpunkte, API-Zugriffe, Validierungshistorie)
  • Technische Daten (IP-Adressen, Browser-Informationen, Log-Daten)

2.4 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer. Nach Vertragsende werden die Daten gemäß den gesetzlichen Aufbewahrungsfristen gelöscht oder auf Wunsch des Auftraggebers herausgegeben.

3. Pflichten des Auftragnehmers

3.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers. Weisungen können schriftlich oder in elektronischer Form erteilt werden.

3.2 Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung beschäftigten Personen zur Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO. Die Verpflichtung zur Vertraulichkeit besteht über das Vertragsende hinaus fort.

3.3 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus:

  • Verschlüsselung: TLS 1.3 für Datenübertragungen, bcrypt für Passwörter
  • Zugriffskontrolle: JWT-basierte Authentifizierung, rollenbasierte Berechtigungen
  • Datensicherung: Tägliche Backups mit 30-Tage-Aufbewahrung
  • Logging und Monitoring: Umfassendes Audit-Logging aller Datenzugriffe
  • Incident Response: Dokumentierte Prozesse für Security-Incidents
  • Netzwerksicherheit: Firewall, Rate-Limiting, DDoS-Protection
  • Löschkonzept: Personenbezogene Daten werden 30 Tage nach Vertragsende gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Backup-Daten werden nach 90 Tagen automatisch überschrieben.

3.4 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber bei:

  • Auskunftsanfragen betroffener Personen
  • Löschung oder Berichtigung von Daten
  • Datenübertragung (Portabilität)
  • Meldung von Datenschutzverletzungen

3.5 Löschung und Rückgabe von Daten

Nach Ende der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer alle personenbezogenen Daten oder gibt sie auf Wunsch des Auftraggebers heraus. Die Herausgabe erfolgt in einem strukturierten, gängigen und maschinenlesbaren Format (JSON, CSV).

4. Unterauftragsverarbeitung

4.1 Genehmigung von Unterauftragnehmern

Der Auftragnehmer ist berechtigt, folgende Subunternehmer zur Erfüllung der vertraglich vereinbarten Leistungen einzusetzen:

  • IONOS SE
    Sitz: Elgendorfer Straße 57, 56410 Montabaur, Deutschland
    Zweck: Server-Hosting und Infrastruktur
    Datenstandort: Deutschland (EU)
    DSGVO-Konformität: Vollständig konform (EU-Anbieter)
  • Stripe Payments Europe Ltd.
    Sitz: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland
    Zweck: Zahlungsabwicklung (Kreditkarten, SEPA)
    Datenstandort: Europäische Union
    DSGVO-Konformität: Vollständig konform (EU-Anbieter)
    Besonderheit: Agiert als Joint Controller gemäß Art. 26 DSGVO (siehe § 4.2)

Der Auftraggeber stimmt der Einschaltung der oben genannten Subunternehmer ausdrücklich zu. Änderungen oder Ergänzungen der Subunternehmerliste werden dem Auftraggeber mindestens 30 Tage vor Beauftragung mitgeteilt. Der Auftraggeber hat das Recht, binnen 14 Tagen nach Mitteilung Widerspruch einzulegen.

4.2 Joint Controllership mit Stripe

Hinsichtlich der Zahlungsabwicklung über Stripe Payments Europe Ltd. handelt es sich um eine gemeinsame Verantwortlichkeit (Joint Controllership) gemäß Art. 26 DSGVO.

Aufgabenteilung:

  • AI Visibility Platform (Auftragsverarbeiter): Verantwortlich für die Bereitstellung der Zahlungsschnittstelle, Übermittlung der Zahlungsdaten an Stripe, Speicherung von Transaktionsreferenzen
  • Stripe Payments Europe Ltd.: Verantwortlich für die Verarbeitung der Zahlungstransaktion, Kreditkartenprüfung, Fraud-Prevention, PCI-DSS-Compliance

Betroffenenrechte:
Betroffene Personen können ihre Rechte gemäß Art. 15-22 DSGVO sowohl gegenüber der AI Visibility Platform als auch gegenüber Stripe geltend machen. Die Datenschutzerklärung von Stripe ist verfügbar unter: https://stripe.com/de/privacy

Datenkategorien bei Stripe:

  • Zahlungsdaten (Kreditkartennummer, Ablaufdatum, CVV)
  • Transaktionsdaten (Betrag, Währung, Zeitstempel)
  • Rechnungsadresse
  • E-Mail-Adresse des Zahlenden

4.3 Verpflichtungen gegenüber Unterauftragnehmern

Der Auftragnehmer verpflichtet Unterauftragnehmer zu denselben Datenschutzverpflichtungen, die in diesem AVV geregelt sind. Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Einhaltung der Verpflichtungen durch Unterauftragnehmer verantwortlich.

5. Rechte des Auftraggebers

5.1 Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzbestimmungen durch den Auftragnehmer zu überprüfen. Dies kann durch:

  • Einholung von Auskünften
  • Einsichtnahme in relevante Unterlagen
  • Kontrollen vor Ort (nach vorheriger Ankündigung)
  • Beauftragung eines unabhängigen Prüfers

5.2 Weisungsrecht

Der Auftraggeber kann dem Auftragnehmer jederzeit Weisungen zur Verarbeitung personenbezogener Daten erteilen. Weisungen sind in Textform zu erteilen. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung seiner Ansicht nach gegen Datenschutzvorschriften verstößt.

6. Datenschutzverletzungen

6.1 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und Anzahl betroffener Personen und Datensätze
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Abhilfemaßnahmen

6.2 Dokumentation

Der Auftragnehmer dokumentiert alle Datenschutzverletzungen, einschließlich der Umstände der Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.

7. Haftung und Schadensersatz

Der Auftragnehmer haftet für Schäden, die durch eine nicht ordnungsgemäße Verarbeitung personenbezogener Daten entstehen. Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO sowie den Regelungen des Hauptvertrags.

8. Schlussbestimmungen

8.1 Laufzeit

Dieser AVV tritt mit Abschluss des Hauptvertrags in Kraft und gilt für die Dauer des Vertragsverhältnisses. Änderungen oder Ergänzungen dieses AVV bedürfen der Schriftform.

8.2 Änderungen gesetzlicher Bestimmungen

Bei Änderungen der DSGVO oder anderer anwendbarer Datenschutzvorschriften passen die Parteien diesen AVV im gegenseitigen Einvernehmen an.

8.3 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung wird durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

9. Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag wenden Sie sich bitte an:

E-Mail: datenschutz@luminara-ai.de

Die vollständigen Kontaktdaten finden Sie in unserem Impressum.

Akzeptanz des AVV

Durch die Nutzung der Luminara AI und Akzeptanz der Allgemeinen Geschäftsbedingungen akzeptieren Sie als Auftraggeber diesen Auftragsverarbeitungsvertrag. Sie können eine signierte Version des AVV jederzeit per E-Mail anfordern.

Stand: 01. Oktober 2025