Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) zwischen
Auftragsverarbeiter:
mona UG (haftungsbeschrankt) (i.G.) (i.G.)
[Straße Hausnummer]
[PLZ] [Ort]
Vertreten durch: [Geschäftsführer]
E-Mail: office@mona-app.de
Verantwortlicher (Auftraggeber):
[Name und Adresse der Agentur – vom Auftraggeber auszufüllen]
§ 1 Gegenstand und Dauer
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform “mona” (Talent-Management-Plattform).
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages (Nutzungsvertrag/AGB).
(3) Art und Zweck der Verarbeitung: Speicherung, Verwaltung und Verarbeitung von Talent-Daten, Engagement-Daten, Finanzdaten und Kommunikationsdaten im Rahmen der Talent-Management-Plattform.
(4) Kategorien betroffener Personen: Talents (Models/Influencer), Mitarbeiter der Agentur, Kontakte/Kunden der Agentur.
(5) Arten personenbezogener Daten: Name, E-Mail, Telefon, Adresse, Geburtsdatum, Körpermerkmale (Measurements), Fotos, Social-Media-Daten, Finanzdaten (IBAN, Steuer-ID), Vertragsdaten, Kommunikationsinhalte.
§ 2 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 5).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32-36 DSGVO.
§ 3 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.
(2) Die Meldung enthält mindestens:
- eine Beschreibung der Art der Verletzung,
- die Kategorien und annähernde Zahl der betroffenen Personen,
- die wahrscheinlichen Folgen der Verletzung,
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.
§ 4 Unterauftragnehmer
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragnehmer) hinzuzuziehen. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung.
(2) Aktuelle Unterauftragnehmer:
| Anbieter | Zweck | Standort |
|---|---|---|
| Vercel Inc. | Hosting (Region fra1) | Frankfurt, Deutschland |
| Google LLC (Firebase) | Datenbank, Authentifizierung, Storage | Frankfurt, Deutschland (europe-west3) |
| Mistral AI | KI-Verarbeitung | Paris, Frankreich |
| Resend Inc. | E-Mail-Versand | USA (EU-Datenverarbeitung) |
| Sentry (Functional Software) | Fehlerüberwachung | USA (EU-Datenverarbeitung) |
§ 5 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:
Vertraulichkeit
- Zutrittskontrolle: Hosting in ISO 27001-zertifizierten Rechenzentren (Google Cloud, Vercel)
- Zugangskontrolle: Firebase Authentication mit verschlüsselten Tokens, rollenbasierte Zugriffskontrolle
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Admin, Management, Booker, Finance, Viewer, Talent)
- Trennungskontrolle: Mandantentrennung durch Agency-IDs in allen Datenbankcollections
Integrität
- Weitergabekontrolle: TLS-Verschlüsselung für alle Datenübertragungen (HTTPS)
- Eingabekontrolle: Audit-Trail durch Firestore-Timestamps (createdAt, updatedAt, createdBy)
Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle: Google Cloud Platform SLA (99.95%), Vercel SLA, automatische Skalierung
- Wiederherstellbarkeit: Firestore Point-in-Time Recovery, automatische Backups
Verfahren zur regelmäßigen Überprüfung
- Datenschutz-Management: Regelmäßige Überprüfung der Zugriffsrechte und Sicherheitsmaßnahmen
- Incident-Response: Definierter Prozess für Datenschutzverletzungen (Meldung innerhalb von 24 Stunden)
- Auftragsverarbeiterkontrolle: Regelmäßige Überprüfung der Unterauftragnehmer
§ 6 Löschung und Rückgabe von Daten
(1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 90 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.
(2) Der Verantwortliche hat die Möglichkeit, seine Daten vor Vertragsende über die Exportfunktion der Plattform herunterzuladen.
(3) Die Löschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt.
§ 7 Schlussbestimmungen
(1) Dieser AVV ist Bestandteil des Hauptvertrages (AGB) und wird für die Dauer des Hauptvertrages geschlossen.
(2) Es gilt das Recht der Bundesrepublik Deutschland.
(3) Gerichtsstand ist [Sitz des Auftragsverarbeiters].
Auftragsverarbeiter
mona UG (haftungsbeschrankt) (i.G.) (i.G.)
Ort, Datum, Unterschrift
Verantwortlicher (Auftraggeber)
[Name der Agentur]
Ort, Datum, Unterschrift
Stand: April 2026