AuditAI

Auftragsverarbeitungsvertrag

Gemäß Art. 28 DSGVO · Stand: Juni 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die datenschutzrechtliche Beziehung zwischen dem Nutzer von AuditAI (nachfolgend „Verantwortlicher") und dem Anbieter des Dienstes (nachfolgend „Auftragsverarbeiter") gemäß Art. 28 DSGVO.

Dieser AVV gilt automatisch als geschlossen, sobald der Nutzer kostenpflichtige Dienste von AuditAI — insbesondere die SEO Automatisierung — in Anspruch nimmt, bei deren Nutzung personenbezogene Daten im Auftrag des Nutzers verarbeitet werden. Durch die Nutzung des Dienstes erklärt der Nutzer sein Einverständnis mit den Bedingungen dieses AVV.

Auftragsverarbeiter:
Finn Paustian, Am Rund 6, 23566 Lübeck
E-Mail: finnpaustian94@gmail.com

Verantwortlicher:
Der jeweilige Nutzer des AuditAI-Dienstes (gemäß Registrierungsdaten)

§ 1 Gegenstand und Dauer der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Erbringung der in den AGB und auf der Produktseite beschriebenen Dienstleistungen, soweit dabei personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. Dies betrifft insbesondere:

  • Speicherung der vom Verantwortlichen eingetragenen Domains, Keywords und der dazugehörigen Google-Ranking-Positionen (SEO Automatisierung)
  • Abruf von Ranking-, Keyword- und Backlink-Daten über die DataForSEO API im Auftrag des Verantwortlichen

Die Verarbeitung erfolgt für die Dauer des aktiven Abonnements zuzüglich einer Löschfrist von 30 Tagen nach Vertragsende.

Verarbeitungsübersicht SEO Automatisierung

Art der DatenDomains, Keywords, Google-Ranking-Positionen (Top 100), Ranking-URLs, Backlink-Zusammenfassungen, Keyword-Suchvolumina
ZweckWöchentliches Tracking von Google-Rankings für eingetragene Domains und Keywords; Keyword-Analyse; Wettbewerbsanalyse
Betroffene PersonenMittelbar: Betreiber der getrackten Domains (soweit natürliche Personen)
SpeicherdauerRanking-Daten: 12 Monate; Keyword-Listen: bis zur Löschung durch den Nutzer, max. 30 Tage nach Vertragsende
DrittanbieterDataForSEO Ltd., Vilnius, Litauen (EU) — nur Keyword + Standort + Sprachcode werden übermittelt, keine personenbezogenen Nutzerdaten
Ort der VerarbeitungDeutschland / EU (MongoDB Atlas, Vercel, DataForSEO)

§ 2 Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die initiale Weisung ergibt sich aus diesem AVV und den AGB. Weitere Weisungen können per E-Mail erteilt werden.

Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Vorschriften verstößt, informiert er den Verantwortlichen unverzüglich darüber.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten ausschließlich im Rahmen des Vertragszwecks zu verarbeiten
  • Keine personenbezogenen Daten ohne Weisung des Verantwortlichen an Dritte weiterzugeben, soweit nicht gesetzlich verpflichtet
  • Sicherzustellen, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind
  • Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach seiner Einschätzung datenschutzrechtlich unzulässig ist
  • Den Verantwortlichen bei der Erfüllung von Betroffenenanfragen sowie bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten zu unterstützen
  • Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen zu löschen oder zurückzugeben (§ 7 dieses AVV)

§ 4 Unterauftragnehmer

Der Auftragsverarbeiter setzt zur Erbringung des Dienstes folgende Unterauftragnehmer ein, mit denen datenschutzkonforme Verträge gemäß Art. 28 DSGVO bestehen:

MongoDB Atlas (MongoDB, Inc.)
Zweck: Datenbankhosting · Standort: EU (Frankfurt)
Vercel Inc.
Zweck: Hosting der Webanwendung · Standort: EU / USA (Standardvertragsklauseln)
SendGrid / Twilio (für E-Mail-Benachrichtigungen)
Zweck: Versand von Alert-E-Mails · Standort: USA (Standardvertragsklauseln)
DataForSEO Ltd.
Zweck: Abruf von Google-Ranking-Daten, Keyword-Suchvolumina, Wettbewerbs- und Backlink-Daten für SEO Automatisierung · Standort: Vilnius, Litauen (EU) · Übermittelte Daten: Keyword, Standortname, Sprachcode — keine personenbezogenen Daten der Endnutzer

Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen an Unterauftragnehmern und gibt ihm die Möglichkeit, Einwände zu erheben.

§ 5 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen (Art. 15–22 DSGVO) im Rahmen des Möglichen. Betroffenenanfragen, die direkt beim Auftragsverarbeiter eingehen, leitet dieser unverzüglich an den Verantwortlichen weiter.

Zur Ausübung von Datenschutzrechten wende dich an: finnpaustian94@gmail.com

§ 6 Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden, wenn er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, die die im Rahmen dieses AVV verarbeiteten Daten betrifft. Die Meldung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung
  • Die betroffenen Kategorien und ungefähre Zahl betroffener Personen
  • Die wahrscheinlichen Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen

§ 7 Löschung und Rückgabe der Daten

Nach Beendigung des Vertragsverhältnisses werden alle im Rahmen der Auftragsverarbeitung gespeicherten Daten des Verantwortlichen — darunter SEO-Automatisierungsdaten (Domains, Keywords, Ranking-Positionen) — innerhalb von 30 Tagen automatisch gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Der Verantwortliche kann vor Vertragsende einen Datenexport seiner SEO-Automatisierungsdaten per E-Mail an finnpaustian94@gmail.com anfordern.

§ 8 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um:

Vertraulichkeit

  • Verschlüsselte Datenübertragung via HTTPS / TLS 1.2+
  • Passwörter werden ausschließlich als bcrypt-Hash gespeichert
  • JWT-Authentifizierung mit begrenzter Token-Gültigkeit (7 Tage)
  • Datenbankzugriff nur von autorisierten Server-Instanzen via IP-Whitelist

Integrität

  • HTTP-Sicherheitsheader (HSTS, CSP, X-Frame-Options, X-Content-Type-Options)
  • Rate-Limiting auf allen API-Endpunkten
  • Input-Validierung auf Server-Seite

Verfügbarkeit

  • Hosting auf Vercel mit automatischer Skalierung
  • Datenbank-Backups über MongoDB Atlas

§ 9 Haftung

Die Haftung im Rahmen dieses AVV richtet sich nach den Bestimmungen der AGB (§ 7) sowie den anwendbaren gesetzlichen Regelungen. Jede Partei haftet für Schäden, die durch ihre Verstöße gegen datenschutzrechtliche Pflichten entstehen.