Auftragsverarbeitungsvertrag (AVV)

Vereinbarung über die Auftragsverarbeitung gemäß Art. 28 DSGVO · Version 1.0 · Stand: April 2026

Wie dieser AVV zustande kommt: Mit der Registrierung eines kostenpflichtigen oder kostenlosen BasedPanel-Kontos akzeptiert der Kunde diesen AVV. Der AVV ist integraler Bestandteil des Hauptvertrags (AGB) und gilt, solange der Hauptvertrag fortbesteht. Auf Wunsch stellen wir eine unterzeichnete Fassung bereit — E-Mail an contact@basedpanel.de.

Präambel & Parteien

Zwischen dem Verantwortlichen („Kunde" bzw. „Auftraggeber") und

Timur Kalender, Einzelunternehmer (handelnd unter der Bezeichnung „BasedPanel"), c/o COCENTER, Koppoldstr. 1, 86551 Aichach, Deutschland („Auftragsverarbeiter" bzw. „Anbieter")

wird nachfolgender Vertrag über die Auftragsverarbeitung personenbezogener Daten geschlossen.

§ 1 Gegenstand, Dauer, Konkretisierung

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Nutzung der Plattform BasedPanel gemäß den zugrundeliegenden AGB (/agb).

(2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags.

Art & Zweck der Verarbeitung

Bereitstellung einer SaaS-Plattform zur Verwaltung von Creator-Accounts: Speicherung, Strukturierung, Anzeige, Übermittlung und Analyse von Chat-, Fan-, Schicht- und Umsatzdaten sowie Automatisierung wiederkehrender Abläufe (Übersetzung, Auto-Posting, Massen-Messaging, Welcome-Flows).

Art der personenbezogenen Daten

Stammdaten (Name, E-Mail, Login-Daten der Team-Mitglieder des Kunden)
Kontaktdaten der Creator (wie vom Kunden hinterlegt)
Nutzungs- und Protokolldaten (Login-Zeiten, IP, Gerät)
Chat-Inhalte, Nachrichtenverläufe, Medien-Metadaten aus 4Based
Fan-/Subscriber-Daten (Pseudonyme, Tags, Kaufhistorie) aus 4Based
Umsatz- und Zahlungs-Metadaten (Beträge, Zeitstempel, Zahlungsart)

Kategorien betroffener Personen

Mitarbeitende und Team-Mitglieder des Kunden (Chatter, Manager, Owner)
Creator, die der Kunde über die Plattform verwaltet
Fans/Subscriber der vom Kunden verwalteten Creator-Accounts
Sonstige Kontaktpersonen des Kunden

§ 2 Weisungsrecht des Auftraggebers

(1) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisungen sind zunächst durch den Hauptvertrag und diesen AVV konkretisiert; weitere Weisungen erfolgen in Textform an contact@basedpanel.de oder über die Konfigurationsoberfläche der Plattform (z. B. Einstellungen, Export, Löschung).

(2) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen dieses Vertrags und gemäß den Weisungen des Auftraggebers, sofern nicht zwingende gesetzliche Regelungen eine andere Verarbeitung erfordern; in diesem Fall wird der Auftragsverarbeiter dem Auftraggeber diese Regelungen vor der Verarbeitung mitteilen.
Der Auftragsverarbeiter gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Anhang 1).
Der Auftragsverarbeiter unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit, Datenschutz-Folgeabschätzung, Meldepflichten) sowie bei der Beantwortung von Betroffenen-Anfragen (Art. 12–22 DSGVO).
Der Auftragsverarbeiter benennt folgende Kontaktstelle für Datenschutzfragen: contact@basedpanel.de.
Nach Beendigung der Erbringung der Verarbeitungsleistung löscht oder gibt der Auftragsverarbeiter nach Wahl des Auftraggebers alle personenbezogenen Daten zurück; dies gilt nicht, soweit eine Verpflichtung zur Speicherung nach Unionsrecht oder nationalem Recht besteht.
Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen (inkl. Inspektionen) — nach angemessener Vorankündigung und während der üblichen Geschäftszeiten, ohne den Geschäftsbetrieb unverhältnismäßig zu stören. Alternativ kann der Nachweis durch ein aktuelles Testat einer anerkannten Zertifizierungsstelle erfolgen.

§ 4 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft die in Anhang 1 zu diesem Vertrag beschriebenen technischen und organisatorischen Maßnahmen. Der Auftragsverarbeiter ist berechtigt, diese Maßnahmen fortlaufend weiterzuentwickeln; das Schutzniveau darf dabei nicht unterschritten werden. Wesentliche Änderungen werden dem Auftraggeber mitgeteilt.

§ 5 Unterauftragsverarbeiter

(1) Der Auftraggeber stimmt dem Einsatz der in Anhang 2 genannten Unterauftragsverarbeiter zu.

(2) Der Auftragsverarbeiter wird weitere Unterauftragsverarbeiter nur nach vorheriger Information des Auftraggebers einsetzen. Der Auftraggeber kann der Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen nach Zugang der Information widersprechen. Im Fall eines Widerspruchs kann der Auftragsverarbeiter den Vertrag mit einer Frist von 30 Tagen außerordentlich kündigen.

(3) Mit den Unterauftragsverarbeitern werden Verträge nach Maßgabe des Art. 28 Abs. 4 DSGVO abgeschlossen; bei Übermittlungen in Drittländer werden geeignete Garantien (insbesondere EU-Standardvertragsklauseln) vorgesehen.

§ 6 Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO geforderten Informationen, soweit bekannt.

§ 7 Löschung / Rückgabe nach Vertragsende

(1) Nach Beendigung des Hauptvertrags werden personenbezogene Daten des Auftraggebers innerhalb von 30 Tagen vollständig gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Logs und Backups werden gemäß der regulären Löschfristen überschrieben.

(2) Auf Anforderung stellt der Auftragsverarbeiter die Daten vor Löschung in einem maschinenlesbaren Format (JSON/CSV) zum Export bereit. Ggf. anfallender Aufwand kann nach vorheriger Ankündigung angemessen in Rechnung gestellt werden.

§ 8 Haftung

Für die Haftung der Parteien im Rahmen dieses AVV gelten die Regelungen der Art. 82 DSGVO sowie die Haftungsklauseln des Hauptvertrags (§ 13 AGB).

§ 9 Schlussbestimmungen

(1) Im Fall von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen der Parteien geht dieser AVV den anderen Vereinbarungen vor, soweit es um datenschutzrechtliche Pflichten geht.

(2) Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. An die Stelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

(3) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters, soweit gesetzlich zulässig.

Anhang 1 — Technische und organisatorische Maßnahmen (TOM)

Maßnahmen gemäß Art. 32 DSGVO. Stand: April 2026.

1. Vertraulichkeit

Zutrittskontrolle: Betrieb in zertifiziertem Rechenzentrum (Hetzner, Deutschland, ISO 27001); physischer Zugang kontrolliert durch den Provider.
Zugangskontrolle: Individuelle Benutzerkonten für Mitarbeitende und Kunden, Passwort-Komplexitäts-Vorgaben, Bcrypt-Hashing, Brute-Force-Schutz, Rate-Limiting beim Login (10 Versuche / 15 Min / IP).
Zugriffskontrolle: Multi-Tenant-Architektur mit agency_id-Filter auf jeder DB-Query, strikte rollenbasierte Berechtigungen (Owner/Admin/Manager/Chatter), separate Admin-Anwendung mit eigenem Login und protokolliertem Impersonation-Workflow (60 s Einmal-Token).
Trennungskontrolle: Logische Trennung der Mandanten auf DB-Ebene; getrennte Umgebungen für Production (Port 3737), Admin (Port 3738) und Sandbox (Port 3739).
Pseudonymisierung / Verschlüsselung: Sensible Credentials (4Based-Tokens) werden mit Fernet (AES-128-CBC + HMAC) verschlüsselt gespeichert. Hardware-Identifier der Desktop-App werden als SHA-256-Hash gespeichert.

2. Integrität

Weitergabekontrolle: Alle Datenübertragungen erfolgen TLS 1.2+ verschlüsselt (Let's Encrypt, HSTS, SNI).
Eingabekontrolle: Kritische Aktionen (Sperrungen, Abrechnungsaktionen, Impersonation) werden im Audit-Log mit Zeitstempel, Akteur, Ziel und Ergebnis protokolliert.

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeit: Monitoring mit Alerting auf kritische Metriken (Error-Rate, Socket-Health, Stripe-Webhooks).
Wiederherstellbarkeit: Tägliche Backups mit 7-Tage-Retention; zusätzlich Pre-Deploy-Snapshots; Test-Restores in regelmäßigen Abständen.
Schutz vor Überlastung: Gunicorn-Worker-Pool, Caching, Rate-Limiting, fail2ban auf Systemebene.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Auftragskontrolle durch schriftliche Weisungen (dieser AVV) und Konfigurationsprotokolle.
Datenschutz- und Informationssicherheits-Management durch Einzelunternehmer (Verantwortlicher).
Incident-Management mit definierten Meldewegen und 48-Stunden-Benachrichtigungspflicht gegenüber Kunden.
Automatisierte Dependency-Scans, regelmäßige Aktualisierung der Systeme (OS, Python-Packages, nginx).

Anhang 2 — Unterauftragsverarbeiter

Unterauftragnehmer	Sitz	Zweck	Grundlage Drittland
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen	Deutschland	Hosting, Server-Logs, verschlüsselte Datenbank-Backups	— (EU)
Stripe Payments Europe, Ltd. 1 Grand Canal Street Lower, Dublin, Irland	Irland / USA (Mutter)	Zahlungsabwicklung, Abo-Verwaltung, Rechnungsstellung	EU-SCC, PCI-DSS
Resend, Inc. 2261 Market Street, San Francisco, CA 94114, USA	USA	Transaktionale E-Mails (Willkommen, Reset, Bestätigung, Rechnungen)	EU-Standardvertragsklauseln, TLS/DKIM/SPF/DMARC
DeepL SE Maarweg 165, 50825 Köln	Deutschland	Maschinelle Übersetzung von Chat-Inhalten (API Pro)	— (EU)
Google Ireland Limited Gordon House, Dublin 4, Irland	Irland / USA (Mutter)	Google Fonts (nur öffentliche Marketing-Seiten)	EU-SCC, DPF-zertifiziert

Der Betrieb der 4Based-Plattform erfolgt nicht durch den Auftragsverarbeiter; die Einbindung von 4Based erfolgt auf ausdrückliche Weisung des Kunden und ist keine Unterauftragsverarbeitung im Sinne von Art. 28 DSGVO.

Version 1.0 — Stand: April 2026