Auftragsverarbeitungsvertrag (AVV)

Version: April 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen dem Kunden, der die capty-Plattform nutzt (nachfolgend „Verantwortlicher"), und

Frömmgen und Wintjens GbR
KWL Büro 0.05, Lothringer Str. 38
44805 Bochum, Deutschland
E-Mail: info@capty.ai
(nachfolgend „Auftragsverarbeiter" oder „capty")

Verantwortlicher und Auftragsverarbeiter werden nachfolgend gemeinsam als „Parteien" bezeichnet.

Dieser AVV ergänzt den zwischen den Parteien bestehenden Hauptvertrag (Nutzungsvertrag / AGB, nachfolgend „Hauptvertrag") und regelt die Verarbeitung personenbezogener Daten durch capty im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

Art. 1 – Gegenstand und Laufzeit

1.1 Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch capty im Rahmen der Bereitstellung der SaaS-Plattform capty.ai gemäß den im Hauptvertrag vereinbarten Leistungen.

1.2 Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags.

Art. 2 – Art, Zweck und Umfang der Verarbeitung

2.1 capty verarbeitet personenbezogene Daten ausschließlich zur Erbringung der im Hauptvertrag vereinbarten Leistungen und auf Weisung des Verantwortlichen.

2.2 Die Verarbeitung umfasst insbesondere:

  • Speicherung und Verarbeitung von durch den Verantwortlichen hochgeladenen Medieninhalten
  • KI-gestützte Analyse und Textgenerierung auf Basis hochgeladener Inhalte
  • Verwaltung von Nutzerdaten, Zugriffsrechten und Workspace-Einstellungen im Rahmen der Plattform
  • Übermittlung von Inhalten an verbundene Social-Media-Plattformen gemäß Weisung des Verantwortlichen

Art. 3 – Kategorien personenbezogener Daten und betroffene Personen

3.1 Kategorien personenbezogener Daten (soweit durch den Verantwortlichen eingebracht):

  • Kontaktdaten (Name, E-Mail-Adresse, Unternehmensangaben)
  • Medieninhalte, die personenbezogene Daten enthalten können (Bilder, Videos, Texte)
  • Nutzungs- und Zugangsdaten (Rollen, Zeitstempel)

3.2 Kategorien betroffener Personen (soweit durch den Verantwortlichen eingebracht):

  • Mitarbeiter und Nutzer des Verantwortlichen
  • Kunden und Kontakte des Verantwortlichen, die in hochgeladenen Inhalten erscheinen können

Art. 4 – Weisungsbefugnis

4.1 capty verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich der in diesem AVV und im Hauptvertrag festgelegten Weisungen.

4.2 Weist capty darauf hin, dass eine Weisung nach seiner Auffassung gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen verstößt, ist capty berechtigt, die Ausführung der Weisung bis zur Klärung auszusetzen.

Art. 5 – Pflichten des Auftragsverarbeiters

capty verpflichtet sich:

  • personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten;
  • sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind;
  • alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe Anlage 2);
  • die in Art. 28 Abs. 2 und 3 DSGVO genannten Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter einzuhalten (siehe Art. 6);
  • den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO zu unterstützen;
  • nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Abschluss der Verarbeitung zu löschen oder zurückzugeben (Art. 9);
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses Artikels bereitzustellen und Überprüfungen zu ermöglichen.

Art. 6 – Unterauftragsverarbeiter

6.1 Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Die aktuell eingesetzten Unterauftragsverarbeiter sind in Anlage 1 aufgeführt.

6.2 capty informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern (Hinzufügen oder Ersetzen) mit einer Vorankündigungsfrist von mindestens 14 Tagen per E-Mail. Der Verantwortliche kann eine beabsichtigte Änderung aus sachlichen Gründen innerhalb dieser Frist schriftlich ablehnen.

6.3 capty stellt sicher, dass Unterauftragsverarbeiter denselben datenschutzrechtlichen Pflichten unterliegen, die in diesem AVV festgelegt sind.

Art. 7 – Internationale Datenübermittlungen

7.1 Soweit im Rahmen der Leistungserbringung personenbezogene Daten in Länder außerhalb der EU/des EWR übermittelt werden oder Zugriffe aus solchen Ländern nicht ausgeschlossen werden können, gelten die in Anlage 1 aufgeführten Garantien.

7.2 capty stellt sicher, dass für solche Übermittlungen geeignete Schutzmaßnahmen gemäß Kapitel V DSGVO vorhanden sind (z. B. Standardvertragsklauseln, angemessener Schutzniveaubeschluss).

Art. 8 – Technische und organisatorische Maßnahmen

capty trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen können weiterentwickelt und angepasst werden, sofern das Schutzniveau nicht unterschritten wird.

Art. 9 – Datenlöschung und -rückgabe

9.1 Nach Beendigung des Hauptvertrags löscht capty alle personenbezogenen Daten des Verantwortlichen nach Ablauf der in den AGB festgelegten 30-tägigen Exportfrist, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

9.2 Auf schriftliche Anforderung des Verantwortlichen stellt capty einen Datenexport in einem maschinenlesbaren Format bereit, soweit dies technisch möglich ist.

Art. 10 – Unterstützung und Audit

10.1 capty unterstützt den Verantwortlichen im zumutbaren Umfang bei der Beantwortung von Anfragen betroffener Personen sowie bei der Erfüllung der in Art. 32–36 DSGVO genannten Pflichten.

10.2 Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV durch capty zu überprüfen. Prüfungen werden mit angemessener Vorankündigung (mindestens 14 Tage) und während der üblichen Geschäftszeiten durchgeführt. capty kann alternativ Nachweise durch Vorlage von Zertifizierungen, Berichten oder gleichwertigen Dokumenten erbringen.

Art. 11 – Vertraulichkeit und Haftung

11.1 Für die Haftung der Parteien im Rahmen dieses AVV gelten die Regelungen des Hauptvertrags sowie die gesetzlichen Vorschriften der DSGVO (insbesondere Art. 82 DSGVO).

11.2 Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist Bochum, Deutschland.

Anlage 1: Aktuelle Unterauftragsverarbeiter

Unterauftragsverarbeiter Zweck Sitz / Übermittlungsgarantie
Hostinger International Ltd. Hosting und Infrastruktur EU (Litauen)
KI-Dienstleister (ein oder mehrere, je nach Anwendungsfall) KI-gestützte Verarbeitung hochgeladener Inhalte und Textgenerierung EU und/oder Drittländer – geeignete Garantien gem. Kap. V DSGVO (z. B. SCCs), soweit anwendbar
Stripe Payments Europe, Ltd. Zahlungsabwicklung EU (Irland) – SCCs für etwaige Drittlandübermittlungen

Anlage 2: Technische und organisatorische Maßnahmen (TOM)

capty trifft zum Zeitpunkt der Verarbeitung mindestens folgende Maßnahmen:

  • Verschlüsselung bei der Übertragung: Alle Datenübertragungen zwischen Nutzer und Plattform erfolgen über TLS/HTTPS.
  • Zugriffskontrolle: Zugang zur Plattform und zu administrativen Systemen ist durch Authentifizierung gesichert. Interne Zugriffsrechte sind auf das erforderliche Minimum beschränkt.
  • Mandantentrennung: Kundendaten und Workspaces sind voneinander isoliert und können nicht zwischen Konten geteilt werden.
  • Verfügbarkeit: Infrastruktur wird bei einem professionellen Hosting-Anbieter (Hostinger) betrieben. Backup-Prozesse sind eingerichtet.
  • Softwaresicherheit: Sicherheitsrelevante Updates werden zeitnah eingespielt.
  • Vertraulichkeit der Mitarbeiter: Personen mit Zugang zu personenbezogenen Daten sind zur Vertraulichkeit verpflichtet.

Diese Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst. Weitergehende Zertifizierungen (z. B. ISO 27001, SOC 2) sind derzeit nicht vorhanden.