Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement

Zuletzt aktualisiert: 19. April 2026

Dieser Auftragsverarbeitungsvertrag (AVV/DPA) gemäß Art. 28 DSGVO wird Bestandteil der Nutzungsbedingungen (AGB) von AuraCite und tritt mit der Registrierung und Nutzung des Dienstes automatisch in Kraft.

1. Gegenstand der Verarbeitung

Dieser Vertrag regelt die Rechte und Pflichten von AuraCite (Auftragsverarbeiter) und dem registrierten Kunden (Verantwortlicher) im Rahmen der Verarbeitung personenbezogener Daten. Der Auftragsverarbeiter verarbeitet Daten (z.B. Logindaten, Prompts, Analysedaten) ausschließlich im Auftrag und nach Weisung des Kunden, um die SaaS-Dienstleistungen darzubieten.

2. Art und Zweck der Daten

Art der Daten: Bestandsdaten (Account), Inhaltsdaten (Prompts, Marken-Texte), Nutzungsdaten (Zugriffszeiten), Kommunikationsdaten (E-Mails).
Kreis der Betroffenen: Mitarbeiter des Kunden, ggf. Kunden oder Zielgruppen des Kunden (sofern deren Daten als markenrelevante Keywords/Prompts analysiert werden).

3. Pflichten des Auftragsverarbeiters (AuraCite)

• Wir verarbeiten Daten ausschließlich nach den Bestimmungen des Hauptvertrags (den AGB) und dokumentierten Weisungen des Kunden.
• Wir gewährleisten die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO.
• Wir unterstützen den Kunden nach Möglichkeit bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen (Auskunft, Löschung).

4. Technische und Organisatorische Maßnahmen (TOM)

AuraCite sichert die Datenverarbeitung durch modernste Maßnahmen:

• Unterbrechungsfreie Verschlüsselung bei Übertragung (TLS 1.3).
• Kryptografischer Passwortschutz (bcrypt).
• Mandanten-Isolierung (IDOR-Protection) in Multi-Tenant-Datenbankstrukturen (PostgreSQL/ClickHouse).
• Verzicht auf Drittanbieter-Tracking-Cookies im Produkt-Dashboard.

5. Unterauftragsverarbeiter (Sub-Processors)

Der Kunde stimmt dem Einsatz folgender relevanter Unterauftragsverarbeiter zu:

• Resend (USA) — Transaktions-Mails.
• Stripe (USA/EU) — Zahlungsabwicklung.
• Railway, Inc. (USA, Datenverarbeitung in EU-West, Amsterdam, NL) — Cloud-Hosting und Datenbank-Infrastruktur.
• DataForSEO / SerpAPI (Global/USA) — API-Daten-Lieferanten für die GEO-Analyse.
• OpenRouter (USA) — KI-API-Aggregator; leitet Anfragen an Modelle wie Anthropic Claude und OpenAI GPT weiter (Zero-Data-Retention).
• Sentry / Functional Software, Inc. (USA) — Fehlerüberwachung, nur mit Einwilligung des Endnutzers.
• Microsoft Corporation (USA) — Nutzungsanalyse via Microsoft Clarity (Heatmaps, Session Replay), nur mit Einwilligung des Endnutzers.
• Cloudflare, Inc. (USA) — Bot-Schutz (Turnstile), Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), Datenübermittlung auf Grundlage von SCCs.
• Google Ireland Limited (Irland) — OAuth-Authentifizierung (Sign in with Google), Verarbeitung von Name, E-Mail und Profil-ID bei Nutzung der Google-Anmeldung. Bei Aktivierung der Google Search Console Integration zusätzlich: Abruf von Suchanalyse-Daten (Suchanfragen, Klicks, Impressionen, Positionen) über die Google Search Console API (Scope: webmasters.readonly).
• Microsoft Ireland Operations Limited (Irland) — OAuth-Authentifizierung (Sign in with Microsoft), Verarbeitung von Name, E-Mail und Profil-ID bei Nutzung der Microsoft-Anmeldung.

Soweit Daten an Anbieter außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, stützen wir uns auf Angemessenheitsbeschlüsse oder wenden von der EU genehmigte Standardvertragsklauseln (SCCs) an.

6. Kündigung und Rückgabe/Löschung

Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter alle dem Kunden zugeordneten personenbezogenen Daten nach erfolgreicher Kontokündigung löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.