Content-Autopilot für DACH-Coaches · EU-Hosted · DSGVO-konform
CastLoop
Anmelden
· Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV)

Vorlage des AVV zwischen CastLoop (Auftragsverarbeiter) und dem Geschäftskunden (Verantwortlicher) gemäß Art. 28 DSGVO.

⚠️ Rechtlicher Hinweis: Diese AVV-Vorlage wurde modellbasiert auf Grundlage üblicher EDPB- / BayLDA-Muster-Bausteine erstellt und benötigt vor der ersten Unterzeichnung mit einem Kunden eine Review durch einen Fachanwalt für IT-Recht / Datenschutz. Bis dahin dient sie als Transparenz-Information gegenüber Geschäftspartnern. Eine rechtsverbindliche Ausfertigung erfolgt auf formlose Anforderung per E-Mail an info@castloop.de.

Vertragsparteien

Dieser AVV wird geschlossen zwischen:

Auftragsverarbeiter:
Daniel Ovadia — CastLoop (Einzelunternehmen)
Eugen-Richter-Str. 159, 76187 Karlsruhe, Deutschland
E-Mail: info@castloop.de

— und dem Verantwortlichen (CastLoop-Kunde, im Folgenden: „der Kunde"), dessen Identität sich aus dem Kunden-Account ergibt und der bei erstmaliger Anforderung dieser Ausfertigung in der Präambel namentlich einzutragen ist.

§ 1 Gegenstand & Dauer

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Kunden im Rahmen der Nutzung des Dienstes „CastLoop" gemäß der Allgemeinen Geschäftsbedingungen (AGB) zwischen den Parteien.

Dieser AVV gilt für die gesamte Dauer des Hauptvertrags (des SaaS-Abonnements) und endet automatisch mit dessen Beendigung.

§ 2 Weisungsrecht des Kunden

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der vertraglichen Vereinbarungen und der dokumentierten Weisungen des Kunden. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Kunden gegen Datenschutzrecht verstößt, so wird er den Kunden darauf hinweisen.

Weisungen werden in der Regel elektronisch dokumentiert über (a) die im SaaS-Dashboard getroffenen Konfigurationen, (b) die vertraglichen Grundlagen (AGB, AVV) und (c) ad-hoc Weisungen per E-Mail an info@castloop.de.

§ 3 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten zum Zwecke der Bereitstellung des SaaS-Dienstes „CastLoop" (Content-Autopilot für Social-Media-Publishing). Konkret umfasst dies insbesondere:

  • Download und Speicherung von YouTube- / Podcast-Ausgangs-Inhalten, die der Kunde zur Verarbeitung bereitstellt;
  • automatisierte Transkription und KI-gestützte Analyse via Google Gemini 2.5 Flash (Google Ireland Ltd.);
  • Erzeugung von Clip-Varianten mit animierten Untertiteln (FFmpeg);
  • Veröffentlichung der Clips auf den vom Kunden verbundenen Social-Media-Konten (YouTube, Instagram, Facebook, TikTok, LinkedIn, X, Threads) im Auftrag des Kunden;
  • Speicherung von Auth-Tokens, Metadaten, Analytics-Daten zur Erbringung des Dienstes.

§ 4 Ort der Verarbeitung

Die Verarbeitung erfolgt primär auf Servern der IONOS SE in Deutschland (EU). Zu den Drittland-Transfers, die bei Multi-Platform-Posting unvermeidbar sind (X, Meta, TikTok-Konzern), siehe § 13.

§ 5 Kategorien betroffener Personen und Daten

Kategorien betroffener Personen:

  • der Kunde selbst als natürliche Person (sofern Einzelunternehmer);
  • Mitarbeiter / Bevollmächtigte des Kunden, die im Kunden-Account arbeiten;
  • Personen, die in den vom Kunden bereitgestellten Inhalten (Videos, Podcasts) erscheinen oder dort akustisch/ bildlich erkennbar sind (z. B. Interview-Gäste);
  • Endnutzer / Zuschauer der veröffentlichten Clips, sofern Engagement-Daten (Aufrufe, Likes, Kommentare) von den Plattformen zurückgespielt werden.

Kategorien personenbezogener Daten:

  • Stammdaten (Name, E-Mail, Firma, Rechnungsadresse);
  • Nutzungsdaten (Login-Zeiten, IP-Hashes, Session-Tokens);
  • Inhaltsdaten (Audio, Video, Transkripte, Untertitel, Metadaten);
  • OAuth-Zugriffstokens der verbundenen Social-Media-Konten (AES-256-GCM verschlüsselt);
  • Performance-Daten (Impressions, Views, Reach — aggregiert von den Plattformen).

§ 6 Technisch-organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft die in Art. 32 DSGVO geforderten technischen und organisatorischen Maßnahmen. Eine detaillierte Auflistung findet sich in der separaten TOM-Anlage, die als Anlage 1 zu diesem AVV Bestandteil dieses Vertrags ist. Die TOM werden regelmäßig überprüft und ggf. an den Stand der Technik angepasst.

§ 7 Subunternehmer (Unterauftragsverarbeiter)

Der Kunde stimmt dem Einsatz der folgenden Subunternehmer mit Vertragsabschluss zu:

Subunternehmer Sitz Zweck
IONOS SE Montabaur, DE (EU) Hosting, SMTP-Relay, VM-Snapshot-Backups
Google Ireland Ltd. Dublin, IE (EU) Transkription & KI-Analyse (Gemini 2.5 Flash), YouTube Data API, Google-Sign-In
Mollie B.V. Amsterdam, NL (EU) Payment-Processing (eigenständig Verantwortlicher nach § 9 Abs. 3 KWG)
Microsoft Ireland Operations Ltd. Dublin, IE (EU) SSO (Sign in with Microsoft)
Apple Distribution International Ltd. Cork, IE (EU) SSO (Sign in with Apple)
Meta Platforms Ireland Ltd. Dublin, IE (EU) Instagram-, Facebook- und Threads-Veröffentlichungen (im Auftrag des Kunden)
TikTok Technology Ltd. Dublin, IE (EU) TikTok-Veröffentlichungen
LinkedIn Ireland Unlimited Company Dublin, IE (EU) LinkedIn-Veröffentlichungen
X Corp. San Francisco, USA (Drittland!) X/Twitter-Veröffentlichungen, abgesichert durch SCC 2021/914

Der Auftragsverarbeiter wird den Kunden mindestens 30 Tage vor einem beabsichtigten Wechsel oder einer Aufnahme weiterer Subunternehmer informieren. Der Kunde kann dem Einsatz widersprechen; bei berechtigtem, datenschutzrechtlichem Widerspruchsgrund sind beide Parteien zur außerordentlichen Kündigung des Hauptvertrags berechtigt.

§ 8 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Kunden bei der Erfüllung seiner Pflichten nach Art. 12 ff. DSGVO (Rechte Betroffener), Art. 33/34 DSGVO (Datenschutzverletzung), Art. 35 DSGVO (Datenschutz-Folgenabschätzung) und Art. 36 DSGVO (vorherige Konsultation).

§ 9 Meldepflicht bei Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Kunden jede ihm bekannt gewordene Datenschutzverletzung i. S. v. Art. 4 Nr. 12 DSGVO, die personenbezogene Daten des Kunden betrifft, unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnisnahme, per E-Mail. Die Meldung enthält die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit dem Auftragsverarbeiter bekannt.

§ 10 Kontroll- und Auskunftsrechte

Der Kunde hat das Recht, die Einhaltung dieses AVV und der geltenden Datenschutzvorschriften durch den Auftragsverarbeiter zu kontrollieren. Die Kontrolle kann wahlweise durch (a) schriftliche Auskunft auf konkrete Fragen, (b) Vorlage aktueller Zertifikate / Audit-Reports (sofern vorhanden), oder (c) — bei begründetem Anlass — Vor-Ort-Kontrolle nach angemessener Vorankündigung (in der Regel mind. 14 Tage, außerhalb von Geschäftszeiten, auf Kosten des Kunden) erfolgen.

§ 11 Geheimhaltung

Der Auftragsverarbeiter verpflichtet sich, alle ihm im Rahmen dieses AVV bekannt gewordenen personenbezogenen Daten vertraulich zu behandeln. Die zur Verarbeitung eingesetzten Personen sind nach Art. 28 Abs. 3 lit. b DSGVO, § 203 StGB (wo anwendbar) und einer entsprechenden vertraglichen Verpflichtung zur Vertraulichkeit verpflichtet.

§ 12 Löschung / Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags werden auf Weisung des Kunden alle personenbezogenen Daten entweder zurückgegeben oder gelöscht. Die Standardoption ist die Löschung nach 30 Tagen aus der Produktivdatenbank und spätestens 30 weiteren Tagen aus allen Backups (IONOS-VM-Snapshot-Rotation), soweit keine gesetzlichen Aufbewahrungspflichten (insb. § 257 HGB, § 147 AO für Rechnungen) entgegenstehen.

§ 13 Drittland-Transfers

Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, soweit dies zur Vertragserfüllung unvermeidbar ist — konkret insbesondere an X Corp. (USA) sowie an die US-Konzernmütter der EU-ansässigen Subunternehmer (Google, Meta, Microsoft, Apple, TikTok), soweit diese konzernintern Daten weiterleiten. Die Absicherung erfolgt auf Grundlage der EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 der Kommission sowie — wo einschlägig — ergänzender technischer und organisatorischer Maßnahmen.

§ 14 Haftung

Die Haftung richtet sich nach den Regelungen des Hauptvertrags (AGB § 10). Art. 82 DSGVO bleibt unberührt.

§ 15 Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht; Gerichtsstand ist — soweit gesetzlich zulässig — der Sitz des Auftragsverarbeiters (Karlsruhe).

Stand: 28. Mai 2026 · Version 1.1 (Threads + Facebook im Leistungsumfang ergänzt)

User-Task (Lawyer-Review): Diese AVV-Vorlage wurde modellbasiert generiert und benötigt vor der ersten Kunden-Signatur eine Review durch einen Fachanwalt für IT-Recht / Datenschutz. Insbesondere sind zu prüfen: (a) die konkrete Liste der Subunternehmer, (b) die Angemessenheit der Melde- und Mitwirkungspflichten, (c) die Regelung zu Vor-Ort-Kontrollen im Hinblick auf Einzelunternehmer-Kapazität, (d) die Interaktion mit den AGB-Haftungsregeln.

Anlage: Technisch-organisatorische Maßnahmen

→ TOM-Anlage anzeigen Zur Startseite