Auftragsverarbeitung (AVV)

§ 1 Gegenstand & Dauer

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung des Dienstes „CreativeRadar".

(2) Die Dauer entspricht der Laufzeit des Hauptvertrags.

§ 2 Art, Zweck & betroffene Personen

Art der Verarbeitung: Erfassung, Speicherung, Auswertung und Bereitstellung von Werbeplatzierungen und zugehörigen Metadaten.

Zweck: Nachweis realer Kampagnensichtbarkeit und Qualitätssicherung von Werbemitteln.

Betroffene Personen: Nutzer:innen des Dienstes auf Seiten des Verantwortlichen (z. B. Mitarbeitende, Agenturkontakte).

Datenkategorien: Account-/Kontaktdaten der Nutzer, technische Nutzungs- und Protokolldaten, erfasste Werbemittel und deren Metadaten.

§ 3 Weisungsrecht

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der EU oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist.

§ 4 Vertraulichkeit

Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 5 Technische & organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere Verschlüsselung (TLS, Verschlüsselung at-rest), rollenbasierte Zugriffskontrolle, Protokollierung, Datensparsamkeit sowie Verfügbarkeits- und Wiederherstellbarkeitskonzepte. Die im Einzelnen umgesetzten Maßnahmen werden dem Verantwortlichen auf Anfrage zur Verfügung gestellt.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche genehmigt den Einsatz von Unterauftragsverarbeitern für den technischen Betrieb, derzeit für das EU-Hosting (Host Europe GmbH, Hürth).

(2) Der Auftragsverarbeiter informiert über beabsichtigte Änderungen und räumt dem Verantwortlichen ein Widerspruchsrecht ein. Mit Unterauftragsverarbeitern werden gleichwertige Datenschutzpflichten vereinbart.

§ 7 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) sowie bei Datenschutz-Folgenabschätzungen und Meldepflichten (Art. 32–36 DSGVO).

§ 8 Drittlandübermittlung

Eine Übermittlung in ein Drittland erfolgt nur, wenn ein Angemessenheitsbeschluss vorliegt oder geeignete Garantien (z. B. EU-Standardvertragsklauseln) bestehen.

§ 9 Löschung & Rückgabe

Nach Abschluss der Verarbeitung löscht oder gibt der Auftragsverarbeiter – nach Wahl des Verantwortlichen – alle personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

§ 10 Nachweise & Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Rahmen.

§ 1 Subject Matter & Duration

(1) The subject matter of this agreement is the processing of personal data by the Processor on behalf of the Controller in the context of use of the "CreativeRadar" service.

(2) The duration corresponds to the term of the main contract.

§ 2 Nature, Purpose & Data Subjects

Nature of processing: Collection, storage, analysis and provision of ad placements and associated metadata.

Purpose: Verification of real campaign visibility and quality assurance of ad creatives.

Data subjects: Users of the service on the Controller's side (e.g. employees, agency contacts).

Data categories: Account/contact data of users, technical usage and log data, captured ad creatives and their metadata.

§ 3 Instructions

The Processor shall process data exclusively on documented instructions from the Controller, unless required to process by EU or Member State law.

§ 4 Confidentiality

The Processor shall only engage persons to carry out processing who have been bound by confidentiality obligations or are subject to an appropriate statutory duty of confidentiality.

§ 5 Technical & Organisational Measures (TOMs)

The Processor shall implement the measures required under Art. 32 GDPR, in particular encryption (TLS, encryption at rest), role-based access control, logging, data minimisation, and availability and recovery concepts. The specific measures implemented will be made available to the Controller on request.

§ 6 Sub-processors

(1) The Controller authorises the engagement of sub-processors for technical operations, currently for EU hosting (Host Europe GmbH, Hürth).

(2) The Processor shall notify the Controller of any intended changes and grant the Controller the right to object. Equivalent data protection obligations shall be agreed with sub-processors.

§ 7 Assistance to the Controller

The Processor shall assist the Controller in fulfilling data subject rights (Art. 12–23 GDPR) and in relation to data protection impact assessments and notification obligations (Art. 32–36 GDPR).

§ 8 Third-country Transfers

Transfers to a third country shall only take place where an adequacy decision exists or appropriate safeguards (e.g. EU Standard Contractual Clauses) are in place.

§ 9 Deletion & Return

Upon completion of processing, the Processor shall – at the Controller's choice – delete or return all personal data, unless a statutory retention obligation exists.

§ 10 Evidence & Audits

The Processor shall make available to the Controller all information necessary to demonstrate compliance and shall enable audits within a reasonable scope.

Data Processing Agreement (DPA)