Zum Inhalt springen
mona

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Stand: Juli 2026

Hinweis: Dieser AVV ist eine Erstfassung und sollte vor Abschluss mit ersten zahlenden Kunden anwaltlich geprüft werden.

Vertragsparteien

Verantwortlicher(nachfolgend „Kunde“):
Der Kunde gemäß Hauptvertrag (mona-Nutzungsvertrag)

Auftragsverarbeiter:
mona UG (haftungsbeschränkt)
Rathenower Straße 38
10559 Berlin
HRB 287738 B, Charlottenburg
(nachfolgend „mona“)

Präambel

Der Kunde nutzt die mona-Plattform zur Verwaltung von Talent-Management-Workflows. Im Rahmen dieser Nutzung verarbeitet mona personenbezogene Daten im Auftrag des Kunden. Dieser Vertrag konkretisiert die Pflichten der Parteien gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung der mona-Plattform als Software-as-a-Service zur Verwaltung von Talent-Management-Workflows einschließlich der damit verbundenen Datenverarbeitungsvorgänge.

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags zwischen den Parteien.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der vertragsgemäßen Bereitstellung des Dienstes und umfasst insbesondere:

  • Speicherung und Verwaltung von Talent-Stammdaten
  • Verwaltung von Engagements, Selections und Castings
  • Kommunikation zwischen Bookerinnen, Talents und Brands
  • Erstellung und Versand von Sedcards und Rechnungen
  • Verwaltung von Verfügbarkeiten und Terminen
  • Synchronisation mit verbundenen E-Mail- und Kalender-Konten (sofern aktiviert)

§ 3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind insbesondere folgende Datenkategorien:

  • Talent-Daten: Name, Geburtsdatum, Kontaktdaten, Maße und Eigenschaften, Bildmaterial, Verfügbarkeiten, Honorarinformationen, Kontoverbindung;
  • Geschäftspartner-Daten: Name, Funktion, Kontaktdaten von Bookerinnen, Brand-Mitarbeitenden, Castern;
  • Nutzer-Daten der Kunden: Name, E-Mail, Profildaten der Mitarbeitenden der Agentur;
  • Kommunikationsdaten: E-Mails, Nachrichten, Anhänge im Rahmen der Plattformnutzung.

§ 4 Kategorien betroffener Personen

  • Mitarbeiter und sonstige Nutzer des Kunden;
  • Talents, die der Kunde verwaltet (Models, Athleten, Schauspieler, Influencer u.a.);
  • Geschäftspartner des Kunden (Brands, Bookerinnen, Casterinnen u.a.).

§ 5 Pflichten von mona

(1) mona verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, sofern mona nicht durch Unionsrecht oder das Recht eines Mitgliedstaats verpflichtet ist. Die Erteilung der Aufträge erfolgt regelmäßig durch Nutzung der Funktionen der mona-Plattform.

(2) mona gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) mona ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Eine Beschreibung der technischen und organisatorischen Maßnahmen findet sich in Anhang 1.

(4) mona unterstützt den Kunden bei der Erfüllung der Pflichten nach Art. 32 bis 36 DSGVO sowie bei der Beantwortung von Anträgen Betroffener nach Art. 12 bis 23 DSGVO im Rahmen seiner technischen Möglichkeiten.

(5) mona stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(6) mona meldet dem Kunden Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden.

§ 6 Pflichten des Kunden

(1) Der Kunde ist im datenschutzrechtlichen Sinne der Verantwortliche.

(2) Der Kunde hat alle erforderlichen Einwilligungen einzuholen und Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten sicherzustellen.

(3) Der Kunde informiert mona unverzüglich, wenn ihm Fehler oder Unregelmäßigkeiten bei der Auftragsverarbeitung auffallen.

§ 7 Subunternehmer (Subprozessoren)

(1) Der Kunde stimmt der Beauftragung folgender Subprozessoren zu:

SubprozessorSitzLeistungRechtsgrundlage Drittland
Vercel Inc.USAHosting der PlattformEU-Standardvertragsklauseln (SCC), EU-US Data Privacy Framework
Google Ireland Limited (Firebase / Firestore)Irland (Daten in Frankfurt, europe-west3)Datenbank, AuthentifizierungEU-intern, kein Drittland-Transfer
Resend, Inc.USAE-Mail-Versand (transaktional)EU-Standardvertragsklauseln (SCC)
Functional Software, Inc. (Sentry)USAFehleranalyse (ohne personenbezogene Daten)EU-Standardvertragsklauseln (SCC)

(2) mona wird den Kunden über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch weiterer Subprozessoren mit einer Frist von vier (4) Wochen in Textform informieren. Der Kunde hat das Recht, der Änderung innerhalb dieser Frist aus wichtigem Grund zu widersprechen.

(3) mona stellt sicher, dass Subprozessoren denselben Datenschutzpflichten unterliegen, die diesem AVV zugrunde liegen.

§ 8 Datenübermittlung in Drittländer

Soweit personenbezogene Daten in Drittländer (insbesondere USA) übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere durch Abschluss der EU-Standardvertragsklauseln in der jeweils gültigen Fassung.

§ 9 Rechte der betroffenen Personen

(1) mona unterstützt den Kunden bei der Beantwortung von Anfragen betroffener Personen.

(2) Wenden sich Betroffene direkt an mona, leitet mona die Anfrage unverzüglich an den Kunden weiter.

§ 10 Datenlöschung und -rückgabe

(1) Nach Beendigung des Hauptvertrags löscht mona die im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, soweit der Kunde nicht zuvor eine Rückgabe der Daten verlangt.

(2) Bestehende gesetzliche Aufbewahrungspflichten bleiben unberührt.

§ 11 Kontrollrechte

(1) Der Kunde hat das Recht, sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen durch mona zu überzeugen.

(2) mona stellt dem Kunden auf Anfrage entsprechende Nachweise und Dokumentationen zur Verfügung. Bei einer vor-Ort-Kontrolle erfolgt die Abstimmung mit angemessener Vorlaufzeit. Der Kunde trägt die Kosten einer solchen Kontrolle.

§ 12 Haftung

Für die Haftung der Parteien gilt Art. 82 DSGVO. Die Haftungsregelungen des Hauptvertrags bleiben im Übrigen unberührt.

§ 13 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.

(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag haben die Regelungen dieses AVV Vorrang in Bezug auf den Datenschutz.

(3) Es gilt das Recht der Bundesrepublik Deutschland.


Anhang 1: Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO

1. Vertraulichkeit

Zutrittskontrolle:

  • Die Verarbeitung findet ausschließlich in den Rechenzentren der Subprozessoren statt (Vercel, Firebase europe-west3). Diese Rechenzentren verfügen über Zutrittskontrollsysteme und Zertifizierungen (ISO 27001, SOC 2).

Zugangskontrolle:

  • Authentifizierung mittels E-Mail/Passwort und/oder OAuth 2.0 (Google, Microsoft)
  • Sichere Passwort-Speicherung (Firebase Authentication, bcrypt/scrypt)
  • Session-Management mit zeitlich begrenzten Tokens
  • Möglichkeit zur Aktivierung von Multi-Faktor-Authentifizierung
  • Logging von Login-Aktivitäten

Zugriffskontrolle:

  • Rollen- und Rechtekonzept innerhalb der Anwendung
  • Mandantentrennung: Jede Agentur erhält einen isolierten Datenbereich
  • Firestore Security Rules verhindern unberechtigte Datenzugriffe auf Datenbankebene

2. Integrität

Eingabekontrolle:

  • Audit-Logs für sicherheitsrelevante Aktionen
  • Versionierung kritischer Datensätze

Weitergabekontrolle:

  • Transportverschlüsselung (TLS 1.3) für alle Verbindungen
  • Verschlüsselte Datenspeicherung (Encryption-at-Rest bei Firebase)

3. Verfügbarkeit und Belastbarkeit

  • Hosting auf hochverfügbarer Infrastruktur (Vercel, Google Firebase)
  • Automatische Backups der Datenbank
  • Point-in-Time-Recovery für Firestore
  • Monitoring der Systemverfügbarkeit

4. Verfahren zur Überprüfung, Bewertung und Evaluierung

  • Regelmäßige Sicherheits-Reviews der Anwendung
  • Verwendung aktueller Software-Versionen und Sicherheits-Patches
  • Fehler-Monitoring über Sentry (ohne personenbezogene Daten)

5. Pseudonymisierung und Verschlüsselung

  • Verschlüsselte Verbindungen (TLS 1.3)
  • Verschlüsselte Datenspeicherung (Provider-seitig)
  • Pseudonymisierung sensitiver Felder, wo technisch sinnvoll

6. Datenschutzfreundliche Voreinstellungen (Privacy by Design)

  • Datensparsamkeit bei der Erfassung von Nutzerdaten
  • Sentry-Konfiguration ohne Übertragung personenbezogener Daten (keine IPs, kein Session Replay)
  • Keine Tracking- oder Marketing-Cookies