Zum Inhalt springen
EU-Datenresidenz
ISO 27001 (Hetzner)

Alle personenbezogenen Daten werden ausschließlich in Deutschland verarbeitet und gespeichert (Hetzner Online GmbH, Rechenzentren Nürnberg & Falkenstein). Kein Transfer in Drittländer — außer Zahlungsdaten über Stripe (EU-US Data Privacy Framework). Mehr zur EU-Datenresidenz →

Vereinbarung zur Auftragsverarbeitung

gemäß Art. 28 DS-GVO — basierend auf der Mustervereinbarung des BfDI (Version 2.1)

Content Mate — Social Media Management Tool

Stand: Februar 2026

Als Anlage zum Nutzungsvertrag (AGB) von Content Mate

— nachfolgend „Leistungsvereinbarung" —

zwischen dem Kunden (Nutzer von Content Mate)

— nachfolgend „Verantwortlicher" —

und

Wadim Lupejcenko, Wichtrudstr. 4, 33098 Paderborn

— nachfolgend „Auftragsverarbeiter" —

— beide nachfolgend gemeinsam „Vertragsparteien" —

wird die folgende Vereinbarung zur Auftragsverarbeitung geschlossen:

Präambel

Die Vertragsparteien sind mit der Leistungsvereinbarung ein Auftragsverarbeitungsverhältnis eingegangen. Um die sich hieraus ergebenden Rechte und Pflichten gemäß den Vorgaben der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG — DSGVO), und des Bundesdatenschutzgesetzes (BDSG) zu konkretisieren, schließen die Vertragsparteien die nachfolgende Vereinbarung.

§ 1 Anwendungsbereich

(1) Die Vereinbarung findet Anwendung auf die Verarbeitung (Art. 4 Nr. 2 DSGVO) aller personenbezogener Daten (im Folgenden: Daten), die Gegenstand der Leistungsvereinbarung sind oder im Rahmen von deren Durchführung anfallen und auf Weisung des Verantwortlichen verarbeitet werden. Nicht unter den Anwendungsbereich fallen Daten von Mitarbeitern des Auftragsverarbeiters, soweit sie ausschließlich das Beschäftigungsverhältnis mit dem Auftragsverarbeiter betreffen.

(2) Diese Vereinbarung gilt vorrangig vor anderen Vereinbarungen und Abreden zwischen Auftraggeber und Auftragnehmer, es sei denn, zwischen den Parteien wird ausdrücklich etwas anderes vereinbart.

§ 2 Konkretisierung des Auftragsinhalts

(1) Gegenstand und Dauer der Auftragsverarbeitung sowie Umfang, Art und Zweck der vorgesehenen Verarbeitung von Daten bestimmen sich nach der Leistungsvereinbarung, die dieser Vereinbarung angefügt ist.

Gegenstand: Bereitstellung des cloudbasierten Social Media Management Dienstes „Content Mate" einschließlich Post-Scheduling, Unified Inbox, Analytics-Dashboard, Medienbibliothek und Team-Workspaces für Instagram, Facebook und TikTok. Dauer: Für die Laufzeit des Abonnements.

(2) Folgende Arten personenbezogener Daten sind Gegenstand der Verarbeitung durch den Auftragsverarbeiter:

  • Nachrichten-Inhalte (Direktnachrichten und Kommentare von Instagram und Facebook)
  • Profilinformationen (öffentliche Profilnamen, Profilbilder, Benutzernamen von Social-Media-Nutzern)
  • Engagement-Daten (Likes, Reaktionen, Shares, Kommentare, Views)
  • Analytics- und Insights-Daten (Reichweite, Impressionen, Engagement-Rate, Follower-Wachstum, demografische Daten wie Alter, Geschlecht, Standort)
  • Mediendateien (vom Auftraggeber hochgeladene Bilder und Videos, die Personen zeigen können)
  • Account-Metadaten (Seitennamen, Follower-Zahlen, Account-IDs)
  • Nutzerdaten des Auftraggebers (E-Mail-Adressen, Namen der Workspace-Mitglieder)

(3) Der Kreis der durch den Umgang mit ihren Daten betroffenen Personen ist (Kategorien betroffener Personen):

  • Follower und Fans der verknüpften Social-Media-Accounts des Auftraggebers
  • Personen, die Direktnachrichten an die verknüpften Accounts senden
  • Personen, die Kommentare auf Beiträgen des Auftraggebers hinterlassen
  • Personen, deren Profildaten in aggregierten Analytics-Daten erfasst werden
  • Personen, die auf Mediendateien des Auftraggebers abgebildet sind
  • Mitarbeiter und Teammitglieder des Auftraggebers (Workspace-Nutzer)

(4) Im Rahmen der Auftragsverarbeitung werden keine besonderen Kategorien von Daten im Sinne von Art. 9 DS-GVO gezielt verarbeitet. Der Auftraggeber ist dafür verantwortlich, dass über die Unified Inbox oder hochgeladene Medien keine besonderen Kategorien personenbezogener Daten übermittelt werden, für die eine zusätzliche Rechtsgrundlage erforderlich wäre.

(5) Die verarbeiteten personenbezogenen Daten haben einen normalen bis hohen Schutzbedarf. Nachrichten-Inhalte (Direktnachrichten) weisen aufgrund ihres kommunikativen Charakters einen hohen Schutzbedarf auf.

§ 3 Verpflichtungen und Weisungsbefugnis

(1) Die Vertragsparteien sind verpflichtet, die ihnen durch datenschutzrechtliche Vorschriften (insbesondere die DSGVO) auferlegten Pflichten einzuhalten. Der Verantwortliche kann jederzeit die Herausgabe, Berichtigung, Anpassung, Löschung und Einschränkung der Verarbeitung der Daten verlangen.

(2) Zur Gewährleistung des Schutzes der Rechte der betroffenen Personen unterstützt der Auftragsverarbeiter den Verantwortlichen angemessen, insbesondere durch die Gewährleistung geeigneter technischer und organisatorischer Maßnahmen.

(3) Soweit sich eine betroffene Person zwecks Geltendmachung eines Betroffenenrechts unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

(4) Der Auftragsverarbeiter darf Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen verarbeiten, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder des Mitgliedstaates, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Eine Weisung ist die auf einen bestimmten Umgang des Auftragsverarbeiters mit Daten gerichtete schriftliche, elektronische oder mündliche Anordnung des Verantwortlichen. Die Anordnungen sind zu dokumentieren. Die Weisungen werden zunächst durch die Leistungsvereinbarung definiert und können von dem Verantwortlichen danach in dokumentierter Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden.

(5) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie von Seiten des Verantwortlichen bestätigt oder geändert wird. Die weisungsberechtigten Personen auf Seiten des Verantwortlichen sowie die zum Empfang der Weisungen berechtigten Personen auf Seiten des Auftragsverarbeiters sowie die vorgesehenen Informationswege sind im Anhang „Weisungsbefugnis" festgelegt.

(6) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren.

(7) Auskünfte an Dritte oder die betroffene Person darf der Auftragsverarbeiter nur nach vorheriger ausdrücklicher schriftlicher (oder dokumentierter elektronischer) Zustimmung durch den Verantwortlichen erteilen, es sei denn er ist nach dem Unionsrecht oder dem Recht eines Mitgliedstaats zur Herausgabe verpflichtet.

(8) Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben, es sei denn er ist nach dem Unionsrecht oder dem Recht eines Mitgliedstaats zur Herausgabe verpflichtet. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt.

(9) Der Verantwortliche führt das Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 DSGVO. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Wunsch Informationen zur Aufnahme in das Verzeichnis zur Verfügung. Der Auftragsverarbeiter führt entsprechend den Vorgaben des Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.

(10) Die Verarbeitung der Daten im Auftrag des Verantwortlichen findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland statt. Alle Server befinden sich in deutschen Rechenzentren der Hetzner Online GmbH. Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage schriftlicher (oder dokumentierter elektronischer) Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der DSGVO im Einklang stehen. Ausnahme: Die Zahlungsabwicklung über Stripe, Inc. (USA), abgesichert durch das EU-US Data Privacy Framework (Art. 45 DS-GVO).

(11) Der Auftragsverarbeiter gewährleistet, dass ihm unterstellte natürliche Personen, die Zugang zu Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.

§ 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter

(1) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und weist dies dem Verantwortlichen auf Wunsch nach. Dies umfasst auch die Belehrung über die in diesem Auftragsverarbeitungsverhältnis bestehende Weisungs- und Zweckbindung.

(2) Die Vertragsparteien unterstützen sich gegenseitig beim Nachweis und der Dokumentation der ihnen obliegenden Rechenschaftspflicht im Hinblick auf die Grundsätze ordnungsgemäßer Datenverarbeitung einschließlich der Umsetzung der notwendigen technischen und organisatorischen Maßnahmen (Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen hierzu bei Bedarf entsprechende Informationen zur Verfügung.

(3) Der Auftragsverarbeiter unterliegt derzeit nicht der gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten. Als Ansprechpartner für den Datenschutz steht zur Verfügung: Wadim Lupejcenko, datenschutz@contentmate.eu.

(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde im Rahmen ihrer Zuständigkeit bei dem Auftragsverarbeiter anfragt, ermittelt oder sonstige Erkundigungen einzieht.

§ 5 Technisch-organisatorische Maßnahmen und deren Kontrolle

(1) Die Vertragsparteien vereinbaren die in dem Anhang „Technisch-organisatorische Maßnahmen" zu dieser Vereinbarung niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen. Der Anhang „Technisch-organisatorische Maßnahmen (TOM)" wird Gegenstand dieser Vereinbarung.

(2) Ergibt eine Prüfung des Verantwortlichen einen Anpassungsbedarf der vom Auftragsverarbeiter zu ergreifenden technisch-organisatorischen Maßnahmen gemäß Artikel 32 DSGVO, sind die Anpassungen vom Auftragsverarbeiter umzusetzen.

(3) Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in dem Anhang „Technisch-organisatorische Maßnahmen (TOM)" festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

(4) Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der in dieser Vereinbarung getroffenen und der gesetzlichen Vorgaben erforderlich sind. Er wird insbesondere Überprüfungen/Inspektionen, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und deren Durchführung unterstützen.

(5) Die Überprüfung kann auch auf der Grundlage vorgelegter aktueller Testate, von Berichten hinreichend qualifizierter und unabhängiger Instanzen (z.B. Wirtschaftsprüfer, unabhängige Datenschutzauditoren), durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO, einer Zertifizierung nach Art. 42 DSGVO oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit erfolgen. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über den Ausschluss von genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 DSGVO und jede andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise unverzüglich zu unterrichten.

(6) Die Überprüfung kann auch durch eine Inspektion vor Ort erfolgen. Der Verantwortliche kann sich hierzu in den Betriebsstätten des Auftragsverarbeiters zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der gesetzlichen Vorgaben oder der zur Durchführung dieser Vereinbarung erforderlichen technischen und organisatorischen Erfordernisse überzeugen.

(7) Der Auftragsverarbeiter stellt dem Verantwortlichen darüber hinaus alle erforderlichen Informationen zur Verfügung, die er für die Prüfungen nach Absatz 4 sowie für eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der Daten (Datenschutz-Folgenabschätzung i.S.d. Art. 35 DSGVO) benötigt.

(8) Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Stands der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.

§ 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter

Der Auftragsverarbeiter unterrichtet den Verantwortlichen umgehend bei schwerwiegenden Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen diese Vereinbarung sowie gesetzliche Datenschutzbestimmungen, bei Verstößen gegen solche Bestimmungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Verantwortlichen. Dies gilt insbesondere im Hinblick auf die Meldepflicht nach Art. 33 Abs. 2 DSGVO sowie auf korrespondierende Pflichten des Verantwortlichen nach Art. 33 und Art. 34 DSGVO. Der Auftragsverarbeiter sichert zu, den Verantwortlichen erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Verantwortlichen darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. § 3 dieser Vereinbarung durchführen.

§ 7 Löschung und Rückgabe von Daten

(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen.

(2) Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch den Verantwortlichen, jedoch spätestens mit Beendigung der Leistungsvereinbarung, hat der Auftragsverarbeiter sämtliche im Auftrag des Verantwortlichen verarbeitete personenbezogene Daten dem Verantwortlichen zurückzugeben oder nach vorheriger Zustimmung des Verantwortlichen datenschutzgerecht zu löschen bzw. zu vernichten. Dies umfasst insbesondere dem Auftragsverarbeiter überlassene Daten, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigte Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen. Eine weitere Speicherung ist nur zulässig, wenn hierzu eine Verpflichtung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats besteht (insbesondere Rechnungsdaten gemäß § 257 HGB bzw. § 147 AO). Ein Löschungsprotokoll ist dem Verantwortlichen auf Anforderung vorzulegen.

Konkret: Die Löschung umfasst alle Daten in der Datenbank (PostgreSQL), im Objektspeicher (S3/Mediendateien), im Cache (Redis) sowie in Sicherungskopien (Backups innerhalb des regulären Rotationszyklus von max. 90 Tagen). Die Löschung erfolgt spätestens 30 Tage nach Vertragsende.

(3) Der Auftragsverarbeiter kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen bis zu deren Ende auch über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben. Für die nach Satz 1 aufbewahrten Daten gelten nach Ende der Aufbewahrungsfrist die Pflichten nach Absatz 2.

§ 8 Subunternehmen

(1) Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Subunternehmen) nur nach dem nachfolgenden Verfahren einsetzen:

✓ Der Auftragsverarbeiter erhält die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Subunternehmen, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens vier Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Subunternehmen und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des betreffenden Subunternehmens Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

Nicht als Leistungen von Subunternehmen im Sinne dieser Regelung gelten Dienstleistungen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

Hinweis: Die Social-Media-Plattformen Meta Platforms Ireland Ltd. (Facebook, Instagram) und TikTok Technology Ltd. gelten nicht als Subunternehmen im Sinne dieser Vereinbarung. Sie sind eigenständige Verantwortliche für die auf ihren Plattformen verarbeiteten Daten. Der Verantwortliche steht als Account-Inhaber in einem eigenständigen datenschutzrechtlichen Verhältnis zu diesen Plattformen (vgl. EuGH, C-210/16 „Wirtschaftsakademie"; EuGH, C-40/17 „Fashion ID").

(2) Wenn Subunternehmen durch den Auftragsverarbeiter eingeschaltet werden, hat der Auftragsverarbeiter sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Subunternehmen so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter entspricht und alle vertraglichen und gesetzlichen Vorgaben beachtet werden; dies gilt insbesondere auch im Hinblick auf den Einsatz geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus der Verarbeitung.

(3) Dem Verantwortlichen sind in der vertraglichen Vereinbarung mit dem Subunternehmen Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung einzuräumen. Ebenso ist der Verantwortliche berechtigt, auf schriftliche (oder dokumentierte elektronische) Anforderung vom Auftragsverarbeiter Auskunft über den Inhalt des mit dem Subunternehmen geschlossenen Vertrages und die darin enthaltene Umsetzung der datenschutzrelevanten Verpflichtungen des Subunternehmens zu erhalten.

(4) Kommt das Subunternehmen seinen datenschutzrechtlichen Verpflichtungen nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Subunternehmens. Der Auftragsverarbeiter hat in diesem Falle auf Verlangen des Verantwortlichen die Beschäftigung des Subunternehmens ganz oder teilweise zu beenden oder das Vertragsverhältnis mit dem Subunternehmen zu lösen, wenn und soweit dies nicht unverhältnismäßig ist.

§ 9 Datenschutzkontrolle

Der Auftragsverarbeiter verpflichtet sich, der/dem Datenschutzbeauftragten des Verantwortlichen zur Erfüllung ihrer bzw. seiner jeweiligen gesetzlich zugewiesenen Aufgaben im Zusammenhang mit diesem Auftrag Zugang zu den üblichen Geschäftszeiten zu gewähren. Er duldet insbesondere Betretungs-, Einsichts- und Fragerechte einschließlich der Einsicht in durch Berufsgeheimnisse geschützte Unterlagen. Er wird seine Mitarbeiterinnen und Mitarbeiter anweisen, mit dem/der Datenschutzbeauftragten zu kooperieren, insbesondere ihre bzw. seine Fragen wahrheitsgemäß und vollständig zu beantworten. Die nach Gesetz bestehenden Verschwiegenheitspflichten und Zeugnisverweigerungsrechte der Genannten bleiben davon unberührt.

§ 10 Haftung und Schadenersatz

Auf Artikel 82 DSGVO wird bezüglich der Haftung und des Rechts auf Schadenersatz verwiesen.

§ 11 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile — einschließlich etwaiger Zusicherungen des Auftragsverarbeiters — bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(2) Sollten einzelne Regelungen dieser Vereinbarung unwirksam oder undurchführbar sein, wird davon die Wirksamkeit der übrigen Regelungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Regelung tritt diejenige wirksame und durchführbare Regelung, deren Wirkungen der Zielsetzung am nächsten kommt, die die Vertragsparteien mit der unwirksamen oder undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich die Vereinbarung als lückenhaft erweist.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Paderborn, sofern der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

Anhang „Weisungsbefugnis" zu § 3

Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie von Seiten des Verantwortlichen bestätigt oder geändert wird.

Weisungsberechtigte Personen auf Seiten des Verantwortlichen:

Der/die im Nutzerkonto des Verantwortlichen als Workspace-Owner registrierte(n) Person(en).

Zum Empfang der Weisungen berechtigte Personen auf Seiten des Auftragsverarbeiters:

Wadim Lupejcenko (Inhaber), datenschutz@contentmate.eu

Vorgesehene Informationswege:

  • ✓ schriftliche und/oder
  • ✓ elektronische Information (E-Mail an datenschutz@contentmate.eu)

Weisungen (auch mündliche Weisungen) sind durch die Vertragsparteien zu dokumentieren. Änderungen bei den weisungsbefugten Personen, den zum Weisungsempfang berechtigten Personen und bei den vorgesehenen Informationswegen sind dem Vertragspartner entsprechend unverzüglich anzuzeigen.

Anhang „Technisch-organisatorische Maßnahmen (TOM)"

§ 5 der Vereinbarung zur Auftragsverarbeitung verweist zur Konkretisierung der technisch-organisatorischen Maßnahmen auf diesen Anhang.

§ 1 Technische und organisatorische Sicherheitsmaßnahmen

Die Vertragspartner sind verpflichtet, geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung der Daten im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Person in angemessener Form gewährleistet ist.

§ 2 Innerbetriebliche Organisation des Auftragsverarbeiters

Der Auftragsverarbeiter wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden Daten oder Datenkategorien geeignet sind.

§ 3 Konkretisierung der Einzelmaßnahmen

(1) Im Einzelnen werden folgende Maßnahmen bestimmt, die der Umsetzung der Vorgaben des Art. 32 DSGVO dienen:

Nr.MaßnahmeUmsetzung bei Content Mate
1.Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener DatenTLS 1.2+ (HTTPS) für alle Client-Server- und Service-zu-Service-Verbindungen. Passwörter: bcrypt-Hashing. OAuth-Tokens: verschlüsselt in PostgreSQL. Datenbank-Verbindung: SSL/TLS. Mediendateien: Server-Side Encryption im Objektspeicher (S3).
2.Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der SystemeVertraulichkeit — Zutrittskontrolle: Hosting in zertifizierten Rechenzentren der Hetzner Online GmbH (ISO 27001, SOC 2 Typ II) in Deutschland mit physischer Zutrittssicherung, Videoüberwachung, Sicherheitspersonal. Kein physischer Serverzugang erforderlich (Cloud-Infrastruktur).

Zugangskontrolle: JWT-basierte Authentifizierung mit konfiguriertem Ablaufzeitraum. E-Mail-Verifizierung bei Registrierung. Rate Limiting für Login und API-Aufrufe.

Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Owner, Admin, Member) innerhalb von Workspaces. Strikte Workspace-basierte Datenisolation in der Datenbank. Principle of Least Privilege.

Trennungskontrolle: Multi-Tenant-Architektur mit logischer Datentrennung auf Workspace-Ebene (PostgreSQL). Workspace-ID-basierte Filterung bei allen Datenbankabfragen. Trennung von Produktions-, Staging- und Entwicklungsumgebungen.
3.Maßnahmen zur raschen Wiederherstellung der Verfügbarkeit bei einem ZwischenfallRegelmäßige automatisierte Datenbanksicherungen (Backups). Redis-Persistenz für Queue-Daten. Hosting bei Hetzner Cloud mit garantierter Infrastruktur-Verfügbarkeit. Horizontale Skalierbarkeit der Anwendungsserver. Monitoring und Alerting.
4.Verfahren zur regelmäßigen Überprüfung, Bewertung und EvaluierungMindestens jährliche Überprüfung der TOMs. Dependency-Scanning und Sicherheitsupdates. Incident-Response-Prozess mit definierten Verantwortlichkeiten. Automatisierte CI/CD-Pipelines mit Qualitätssicherung.
5.Maßnahmen zur Identifizierung und Autorisierung der NutzerJWT-basierte Authentifizierung. Passwort-Hashing (bcrypt). Social-Media-Account-Verknüpfung über OAuth 2.0 (Meta) bzw. OAuth 2.0 mit PKCE (TikTok) — keine Plattform-Passwörter gespeichert. E-Mail-Verifizierung. Automatisches Session-Timeout.
6.Maßnahmen zum Schutz der Daten während der ÜbermittlungTLS-verschlüsselte Kommunikation für alle API-Schnittstellen. OAuth 2.0-basierte Authentifizierung gegenüber Social-Media-Plattformen. HMAC-SHA256-Signaturvalidierung für eingehende Webhooks (Meta, TikTok). Presigned URLs für Media-Uploads (zeitlich begrenzt, 15 Min.).
7.Maßnahmen zum Schutz der Daten während der SpeicherungVerschlüsselte Datenbank-Verbindungen (SSL/TLS). Passwörter: bcrypt-Hashing. OAuth-Tokens: verschlüsselt gespeichert. Mediendateien: Server-Side Encryption (S3). Sicherungskopien: verschlüsselt.
8.Maßnahmen zur Gewährleistung der physischen SicherheitHetzner-Rechenzentren in Deutschland: ISO 27001 zertifiziert, physische Zutrittskontrollsysteme, Videoüberwachung, 24/7 Sicherheitspersonal, redundante Stromversorgung und Klimatisierung.
9.Maßnahmen zur Gewährleistung der ProtokollierungAktivitäts-Logging für Benutzeraktionen. Nachvollziehbarkeit von Änderungen an Beiträgen und Einstellungen. Webhook-Idempotenz (24h TTL). Structured Logging in den Backend-Diensten.
10.Maßnahmen zur Gewährleistung der SystemkonfigurationInfrastructure-as-Code (Docker, Kubernetes). Automatisierte Deployments über CI/CD-Pipelines. Umgebungsvariablen für Konfiguration (keine Secrets im Code). Getrennte Konfiguration für Entwicklung/Staging/Produktion.
11.Maßnahmen für die interne IT-Governance und IT-SicherheitCode-Reviews vor Deployment. Versionskontrolle (Git). Principle of Least Privilege für Infrastrukturzugang. Regelmäßige Sicherheitsupdates.
12.Maßnahmen zur Zertifizierung/QualitätssicherungHosting-Provider Hetzner: ISO 27001, SOC 2 Typ II. Zahlungsdienstleister Stripe: PCI DSS Level 1. Eigene Zertifizierung: derzeit nicht vorhanden; geplant.
13.Maßnahmen zur Gewährleistung der DatenminimierungNur für die Diensterbringung erforderliche Daten werden verarbeitet. Analytics-Daten werden in aggregierter Form gespeichert. OAuth-Tokens bei Account-Widerruf unverzüglich gelöscht.
14.Maßnahmen zur Gewährleistung der DatenqualitätValidierung aller API-Eingaben. Medienvalidierung (Dateityp, Dimensionen, Dateigröße). Automatische Konsistenzprüfung bei Analytics-Aggregation.
15.Maßnahmen zur Gewährleistung einer begrenzten SpeicherdauerLöschkonzept gemäß § 7 der Vereinbarung. Löschung spätestens 30 Tage nach Vertragsende. Backup-Rotation max. 90 Tage. Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht). OAuth-Tokens: Löschung bei Account-Widerruf.
16.Maßnahmen zur Gewährleistung der RechenschaftspflichtVerzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 2 DSGVO. Dokumentation der TOMs (dieser Anhang). Dokumentation von Weisungen. Löschprotokolle auf Anforderung.
17.Maßnahmen zur Ermöglichung der Datenübertragbarkeit und LöschungExport-Funktion für Nutzerdaten innerhalb des Dienstes. Vollständige Datenlöschung nach Vertragsende (Datenbank, S3, Redis, Backups). Löschungsprotokoll auf Anforderung.

(2) Es ist ein Verfahren zu etablieren, das eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der zum Einsatz kommenden technischen und organisatorischen Maßnahmen durch die Vertragsparteien ermöglicht.

→ Der Auftragsverarbeiter führt mindestens jährlich eine Überprüfung der TOMs durch. Das Ergebnis wird auf Anfrage dem Verantwortlichen mitgeteilt.

Anhang „Subunternehmen" zu § 8

Nach § 8 Abs. 1 S. 2 der Vereinbarung sind die zur Erfüllung dieses Vertrages bereits hinzugezogenen Subunternehmen zu bezeichnen. Gem. § 8 Abs. 1 S. 3 der Vereinbarung erklärt sich der Verantwortliche mit deren Beauftragung einverstanden.

Subunternehmen (Name, Anschrift)(Teil-)LeistungsgegenstandOrt der Verarbeitung
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen, Deutschland		Cloud-Hosting der Anwendungsserver, Datenbank (PostgreSQL), Cache (Redis) und Objektspeicher (S3-kompatibel) für alle im Rahmen des Dienstes verarbeiteten personenbezogenen DatenDeutschland (Rechenzentren in Nürnberg und Falkenstein)
Stripe, Inc.
354 Oyster Point Blvd
South San Francisco, CA 94080, USA		Zahlungsabwicklung und Abonnementverwaltung. Verarbeitete Daten: E-Mail-Adresse, Name des Kontoinhabers, Zahlungsinformationen, Rechnungsadresse.EU und USA. Drittlandtransfer abgesichert durch EU-US Data Privacy Framework (Art. 45 DS-GVO). Stripe ist unter dem DPF zertifiziert.

Änderungen an dieser Liste werden dem Verantwortlichen gemäß § 8 mindestens vier Wochen im Voraus in Textform mitgeteilt.

Stand: Februar 2026

Diese Vereinbarung basiert auf der Mustervereinbarung zur Auftragsverarbeitung (Version 2.1) der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die Platzhalter wurden mit den spezifischen Angaben für Content Mate ausgefüllt.

Quelle: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit — lizenziert unter der Datenlizenz Deutschland – Namensnennung – Version 2.0.