Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement

Zuletzt aktualisiert: 5. Mai 2026

Dieser Auftragsverarbeitungsvertrag (AVV/DPA) gemäß Art. 28 DSGVO wird Bestandteil der Nutzungsbedingungen (AGB) von AuraCite und tritt mit der Registrierung und Nutzung des Dienstes automatisch in Kraft.

1. Gegenstand der Verarbeitung

Dieser Vertrag regelt die Rechte und Pflichten von AuraCite (Auftragsverarbeiter) und dem registrierten Kunden (Verantwortlicher) im Rahmen der Verarbeitung personenbezogener Daten. Der Auftragsverarbeiter verarbeitet Daten (z.B. Logindaten, Prompts, Analysedaten) ausschließlich im Auftrag und nach Weisung des Kunden, um die SaaS-Dienstleistungen bereitzustellen.

2. Art und Zweck der Daten

Art der Daten: Bestandsdaten (Account), Inhaltsdaten (Prompts, Marken-Texte), Nutzungsdaten (Zugriffszeiten), Kommunikationsdaten (E-Mails).
Kreis der Betroffenen: Mitarbeiter des Kunden, ggf. Kunden oder Zielgruppen des Kunden (sofern deren Daten als markenrelevante Keywords/Prompts analysiert werden).

3. Pflichten des Auftragsverarbeiters (AuraCite)

• Wir verarbeiten Daten ausschließlich nach den Bestimmungen des Hauptvertrags (den AGB) und dokumentierten Weisungen des Kunden.
• Wir gewährleisten die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO.
• Wir unterstützen den Kunden nach Möglichkeit bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen (Auskunft, Löschung).

4. Technische und Organisatorische Maßnahmen (TOM)

AuraCite sichert die Datenverarbeitung durch angemessene technische und organisatorische Maßnahmen:

• Verschlüsselte Übertragung per HTTPS/TLS.
• Kryptografischer Passwortschutz (bcrypt).
• Mandanten-Isolierung (IDOR-Protection) in Multi-Tenant-Datenbankstrukturen (PostgreSQL/ClickHouse).
• Mandantenbezogene Zugriffskontrollen und Audit-Logging für ausgewählte sicherheitsrelevante Vorgänge.
• Optionale Analyse- und Fehlerüberwachungsdienste nur gemäß Datenschutz- und Consent-Konfiguration.

5. Unterauftragsverarbeiter (Sub-Processors)

Der Kunde stimmt dem Einsatz folgender relevanter Unterauftragsverarbeiter zu:

• Resend (USA) — Transaktions-Mails.
• Stripe (USA/EU) — Zahlungsabwicklung.
• Railway, Inc. (USA, Datenverarbeitung in EU-West, Amsterdam, NL) — Cloud-Hosting und Datenbank-Infrastruktur.
• Spezialisierte Such- und KI-Datenanbieter (Global/USA) — technische Datenlieferanten für öffentliche Search- und AI-Visibility-Signale.
• KI-Modell- und Routing-Infrastruktur (USA/EU je nach Konfiguration) — technische Verarbeitung für optionale KI-Funktionen; soweit verfügbar werden Optionen zur Reduzierung der Speicherung und zur Verhinderung von Modelltraining mit Kundendaten genutzt.
• Sentry / Functional Software, Inc. (USA) — serverseitige Fehlerüberwachung auf Grundlage berechtigter Interessen; optionale clientseitige Fehlerüberwachung oder Session Replay nur nach Einwilligung des Endnutzers.
• Microsoft Corporation (USA) — Nutzungsanalyse via Microsoft Clarity (Heatmaps, Session Replay), nur mit Einwilligung des Endnutzers.
• Cloudflare, Inc. (USA) — Bot-Schutz (Turnstile), Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), Datenübermittlung auf Grundlage von SCCs.
• Google Ireland Limited (Irland) — OAuth-Authentifizierung (Sign in with Google), Verarbeitung von Name, E-Mail und Profil-ID bei Nutzung der Google-Anmeldung. Bei Aktivierung der Google Search Console Integration zusätzlich: Abruf von Suchanalyse-Daten (Suchanfragen, Klicks, Impressionen, Positionen) über die Google Search Console API (Scope: webmasters.readonly).
• Microsoft Ireland Operations Limited (Irland) — OAuth-Authentifizierung (Sign in with Microsoft), Verarbeitung von Name, E-Mail und Profil-ID bei Nutzung der Microsoft-Anmeldung.

Soweit Daten an Anbieter außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, stützen wir uns auf Angemessenheitsbeschlüsse oder wenden von der EU genehmigte Standardvertragsklauseln (SCCs) an.

6. Kündigung und Rückgabe/Löschung

Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter alle dem Kunden zugeordneten personenbezogenen Daten nach erfolgreicher Kontokündigung löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.