gemäß Art. 28 DSGVO
Stand: 25. April 2026
Anlage 2 zu den Allgemeinen Geschäftsbedingungen der Matepoint Kontextfabrik
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:
Auftraggeber (Verantwortlicher): Der Kunde der Matepoint Kontextfabrik gemäß den Allgemeinen Geschäftsbedingungen (nachfolgend „Auftraggeber").
Auftragnehmer (Auftragsverarbeiter): Matepoint, Inhaber Sven Weisheit, Mainz (nachfolgend „Auftragnehmer").
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „Kontextfabrik". Dieser AVV konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.
Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen von Matepoint (Teil B — Kontextfabrik) und tritt mit Abschluss des Hauptvertrags in Kraft.
(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der Kontextfabrik-Plattform.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags über die Kontextfabrik. Der AVV endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der in § 10 geregelten Pflichten zur Rückgabe und Löschung.
(3) Art, Zweck und Umfang der Verarbeitung, die Kategorien betroffener Personen und die Datenkategorien ergeben sich aus Anhang 1 zu diesem AVV.
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, der Auftragnehmer ist durch Unionsrecht oder das Recht eines Mitgliedstaats zu einer Verarbeitung verpflichtet. In diesem Fall teilt der Auftragnehmer dem Auftraggeber die rechtliche Anforderung vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Weisungen werden in der Regel über die Konfiguration und Nutzung der Plattform (Dashboard) erteilt. Darüber hinausgehende Weisungen bedürfen der Textform (E-Mail genügt).
(3) Weisungsberechtigt auf Seiten des Auftraggebers ist der Tenant-Administrator oder eine von diesem schriftlich benannte Person. Weisungsempfänger auf Seiten des Auftragnehmers ist der Inhaber Sven Weisheit oder eine von diesem benannte Person.
(4) Ist der Auftragnehmer der Auffassung, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber auszusetzen.
(1) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(2) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die Maßnahmen sind in Anhang 2 (TOM) zu diesem AVV beschrieben.
(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Anfragen betroffener Personen nach Art. 15 bis 22 DSGVO.
(4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(5) Der Auftragnehmer verwendet die personenbezogenen Daten des Auftraggebers ausschließlich zur Erbringung der vertraglich geschuldeten Leistungen. Eine Verarbeitung für eigene Zwecke, insbesondere zum Training von KI-Modellen, ist ausgeschlossen.
(6) Die eingesetzten LLM-Anbieter (Anthropic, Google Vertex AI) verwenden die übermittelten Daten gemäß ihrer kommerziellen API-Bedingungen nicht zum Modelltraining. Der Auftragnehmer stellt sicher, dass diese Zusage Bestandteil der vertraglichen Vereinbarung mit den jeweiligen Unterauftragsverarbeitern ist.
(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, die im Zusammenhang mit der Auftragsverarbeitung steht.
(2) Die Meldung enthält mindestens folgende Informationen, soweit sie dem Auftragnehmer zum Zeitpunkt der Meldung vorliegen:
(3) Soweit die Informationen nach Abs. 2 nicht gleichzeitig bereitgestellt werden können, stellt der Auftragnehmer sie ohne unangemessene Verzögerung schrittweise bereit.
(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses genehmigten Unterauftragsverarbeiter sind in Anhang 3 aufgeführt.
(2) Der Auftragnehmer informiert den Auftraggeber mindestens vier Wochen vor einer beabsichtigten Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern in Textform. Der Auftraggeber kann der Änderung innerhalb von zwei Wochen nach Zugang der Mitteilung aus sachlichen Gründen widersprechen.
(3) Widerspricht der Auftraggeber der Änderung, ist der Auftragnehmer berechtigt, den Hauptvertrag mit einer Frist von einem Monat zum Monatsende zu kündigen, sofern die Leistungserbringung ohne den Unterauftragsverarbeiter nicht möglich oder unzumutbar ist.
(4) Der Auftragnehmer legt dem Unterauftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind. Der Auftragnehmer bleibt dem Auftraggeber gegenüber für die Erfüllung der Pflichten des Unterauftragsverarbeiters vollumfänglich verantwortlich.
(5) Soweit ein Unterauftragsverarbeiter seinen Sitz in einem Drittland außerhalb des EWR hat, stellt der Auftragnehmer sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist. Dies erfolgt durch: (a) einen Angemessenheitsbeschluss der Europäischen Kommission (einschließlich des EU-US Data Privacy Framework), (b) Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, oder (c) sonstige geeignete Garantien nach Art. 46 DSGVO.
(1) Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses AVV und der datenschutzrechtlichen Vorgaben zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung.
(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage eine aktuelle Selbstauskunft zu den technischen und organisatorischen Maßnahmen zur Verfügung.
(3) Der Auftraggeber ist berechtigt, einmal pro Kalenderjahr eine Überprüfung durch einen vom Auftraggeber beauftragten Prüfer durchführen zu lassen. Die Überprüfung erfolgt nach Vorankündigung von mindestens vier Wochen, während der üblichen Geschäftszeiten und unter Wahrung der Vertraulichkeit. Die Kosten der Überprüfung trägt der Auftraggeber.
(4) Der Auftragnehmer kann die Vor-Ort-Prüfung durch Vorlage eines aktuellen Prüfberichts eines unabhängigen Dritten (Wirtschaftsprüfer, IT-Sicherheitsprüfer) oder durch eine vergleichbare Zertifizierung ersetzen, sofern der Bericht die Einhaltung der Pflichten nach diesem AVV hinreichend nachweist.
(5) Zusätzliche Prüfungen über die jährliche Prüfung hinaus sind zulässig, wenn der Auftraggeber begründeten Anlass zu der Annahme hat, dass der Auftragnehmer gegen die Bestimmungen dieses AVV verstößt, oder wenn eine Aufsichtsbehörde eine Prüfung anordnet.
(1) Wendet sich eine betroffene Person mit einem Antrag nach Art. 15 bis 22 DSGVO unmittelbar an den Auftragnehmer, leitet der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiter.
(2) Der Auftragnehmer unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Beantwortung der Anträge. Hierzu stellt die Plattform insbesondere folgende Funktionen bereit:
(1) Der Auftragnehmer trifft die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Er gewährleistet ein dem Risiko angemessenes Schutzniveau unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.
(2) Der Auftragnehmer überprüft die Maßnahmen regelmäßig und passt sie dem Stand der Technik an. Eine Änderung der Maßnahmen darf das vereinbarte Schutzniveau nicht unterschreiten.
(1) Datenschutzbeauftragter des Auftragnehmers ist der Inhaber Sven Weisheit.
(2) Der Auftraggeber kann den Datenschutzbeauftragten unter der im Impressum von matepoint.de angegebenen E-Mail-Adresse erreichen.
(1) Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragnehmer nach Wahl des Auftraggebers sämtliche im Auftrag verarbeiteten personenbezogenen Daten zurück, sofern nicht Unionsrecht oder das Recht eines Mitgliedstaats eine Speicherung vorschreibt.
(2) Der Auftraggeber teilt dem Auftragnehmer innerhalb von 30 Tagen nach Vertragsende mit, ob er die Rückgabe der Daten (JSON-Export und Medien-Archiv) oder die sofortige Löschung wünscht. Die Einzelheiten der Rückgabe regelt § 21 der AGB.
(3) Äußert sich der Auftraggeber nicht innerhalb der Frist nach Abs. 2, löscht der Auftragnehmer die Daten vollständig.
(4) Der Auftragnehmer bestätigt dem Auftraggeber die Löschung auf Anfrage schriftlich.
(5) Die Löschung erstreckt sich auch auf die Daten bei den Unterauftragsverarbeitern, soweit dies technisch möglich und von den jeweiligen Dienstleistern unterstützt wird.
(1) Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO, sowie nach den Haftungsregelungen des Hauptvertrags (§ 4 der AGB).
(2) Soweit eine Partei aufgrund einer Verletzung dieses AVV gegenüber betroffenen Personen oder Aufsichtsbehörden zur Leistung von Schadensersatz oder zur Zahlung von Bußgeldern verpflichtet wird, stellt die andere Partei sie insoweit frei, als die Haftung auf einer von der anderen Partei zu vertretenden Pflichtverletzung beruht.
(3) Der Auftragnehmer führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO für die im Auftrag des Auftraggebers durchgeführten Verarbeitungen.
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV in Bezug auf den Schutz personenbezogener Daten vor.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Mainz.
Bereitstellung einer KI-gestützten SaaS-Plattform für Content-Marketing-Produktion im Auftrag des Auftraggebers. Die Verarbeitung umfasst insbesondere: Speicherung und Verwaltung von Wissensdokumenten, Produktdaten und Autorenprofilen; Erzeugung von Artikeln, Bildern, Social-Media-Inhalten und Newslettern mithilfe von LLM-Diensten; CMS-Anbindung und Veröffentlichung; transaktionaler E-Mail-Versand im Auftrag des Auftraggebers.
Mitarbeiter und Beauftragte des Auftraggebers (Tenant-Administratoren, Editoren, Betrachter); Autoren, deren Profile auf der Plattform gepflegt werden; Interviewpartner und Experten, die vom Auftraggeber für das Autorenprofil-Modul eingeladen werden; in Inhalten erwähnte Personen; Empfänger von E-Mails, die über die White-Label-Versand-Funktion versendet werden.
| Kategorie | Details |
|---|---|
| Autorenprofile | Name, Funktion, Kurzbiografie, Foto, E-Mail, Schreibstil-Parameter, Expertisebereiche |
| Interview-Daten (wenn Modul aktiv) | Interviewee-Name, E-Mail, Transkripte, extrahierte Profil-Daten |
| Wissensdokumente | Hochgeladene oder gecrawlte Inhalte des Auftraggebers, soweit personenbezogene Daten enthalten |
| Redaktionsplan und Artikel | Titel, Keywords, Artikelinhalte, soweit personenbezogene Daten enthalten |
| Social-Media-Inhalte | Plattform-Varianten aus Artikeln, soweit personenbezogene Daten enthalten |
| E-Mail-Versand (White-Label) | Empfänger-Adressen, E-Mail-Inhalte, Absender-Konfiguration, Zustellprotokolle |
| Audit-Log | User-ID, Aktion, Ressource, IP-Adresse, Zeitstempel |
Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Nach Beendigung des Hauptvertrags gemäß § 10 dieses AVV.
Zutrittskontrolle: Die Plattform wird bei einem Hosting-Dienstleister in Deutschland betrieben. Physischer Zutritt zu den Rechenzentren ist durch die Sicherheitsmaßnahmen des Rechenzentrumsbetreibers geregelt. Die Datenbank wird in der Region EU (Frankfurt) gehostet.
Zugangskontrolle: Nutzer-Authentifizierung über Supabase Auth (E-Mail + Passwort, Passwörter ausschließlich als Hash gespeichert). TLS-Verschlüsselung aller externen Endpunkte. Credentials (API-Keys, CMS-Zugangsdaten) werden AES-256-GCM-verschlüsselt in der Datenbank gespeichert. Plattform-Credentials liegen in Server-Umgebungsvariablen, nicht in der Datenbank.
Zugriffskontrolle: Rollenbasiertes Berechtigungsmodell (platform_admin, tenant_admin, tenant_editor, tenant_viewer). Multi-Tenant-Isolation durch Row Level Security (RLS) in der Datenbank: Jede Abfrage ist serverseitig auf die Tenant-ID des Nutzers eingeschränkt. Rollenprüfung bei jedem Zugriff.
Trennungskontrolle: Logische Mandantentrennung über Tenant-IDs und RLS. Eine physische Trennung auf Datenbank-/Instanz-Ebene ist architektonisch vorbereitet und kann für Enterprise-Kunden eingerichtet werden.
Weitergabekontrolle: Alle Datenübertragungen zwischen Client, Plattform und Sub-Dienstleistern erfolgen TLS-verschlüsselt. Transaktionale E-Mails werden über eine EU-Versand-Region versendet. Open- und Click-Tracking sind plattformweit deaktiviert.
Eingabekontrolle: Vollständiges Audit-Log: Alle relevanten Änderungen (Artikel, Konfiguration, Credential-Änderungen, KI-Aufrufe) werden mit Nutzer, Ressource, Aktion, Zeitstempel und IP-Adresse protokolliert. Eingehende Webhooks (Stripe, Resend) werden anhand der Webhook-Signatur geprüft.
Verfügbarkeitskontrolle: Automatisierte Sicherungen der Datenbank durch Supabase (Point-in-Time-Recovery). SSL/TLS für alle externen Endpunkte mit automatischer Zertifikatserneuerung. Technische Überwachung und Health-Checks.
Auftragskontrolle: Verarbeitung ausschließlich gemäß den Weisungen des Auftraggebers. Dokumentation der Weisungen. Keine Verarbeitung für eigene Zwecke.
Datenschutz-Management: Regelmäßige Überprüfung der TOM und Anpassung an den Stand der Technik. Dokumentation der Verarbeitungstätigkeiten. Vertraulichkeitsverpflichtung aller mit der Datenverarbeitung betrauten Personen.
Die folgenden Unterauftragsverarbeiter sind zum Stand dieses AVV genehmigt:
| Anbieter | Sitz | Verarbeitung | Drittlandtransfer-Grundlage |
|---|---|---|---|
| IONOS SE | Deutschland | Hosting der Anwendungs-Server (VPS) | EU — keine Drittlandübermittlung |
| Supabase Inc. | USA; genutzte Region Frankfurt (EU) | Datenbank (PostgreSQL), Nutzerauthentifizierung, Storage für Medien | Daten in EU; für US-Support-Zugriffe: EU-US DPF und/oder SCC |
| Anbieter | Sitz | Verarbeitung | Drittlandtransfer-Grundlage |
|---|---|---|---|
| Anthropic, PBC | USA | LLM-Inferenz: Erzeugung von Texten, Prompt-Verarbeitung für Artikel, Social Media, Newsletter, Help-Chat, Interview-Auswertung | EU-US DPF und/oder SCC; kein Modelltraining mit Kundendaten |
| Google LLC / Google Cloud | USA; Vertex AI und GCS in Region europe-west3 (Frankfurt) | Bildgenerierung (Gemini Image), Objekt-Speicher für Referenzbilder und Packshots | Google Cloud DPA; EU-US DPF; Region europe-west3 |
| Gladia SAS | Frankreich (EU) | Sprache-zu-Text-Transkription im Autoren-Interview-Modul (in Entwicklung) | EU — keine Drittlandübermittlung; Audio-Löschung 48h nach Transkription |
| Anbieter | Sitz | Verarbeitung | Drittlandtransfer-Grundlage |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Irland (EU); Konzernverbindungen USA | Zahlungsabwicklung, Abonnementverwaltung. Stripe ist eigenständiger Verantwortlicher für Zahlungsdaten; Auftragsverarbeiter für Billing-Daten. | Stripe Standard-DPA; Drittlandtransfer an Stripe, Inc. (USA): EU-US DPF und SCC |
| Resend, Inc. | USA (Delaware); Versand-Region eu-west-1 (Irland) | Transaktionaler E-Mail-Versand; Zustellprotokolle. Open-/Click-Tracking deaktiviert. Resend übermittelt Zustellstatus per Webhook. | DPA mit Resend; Versand in EU-Region; US-Zugriffe: EU-US DPF und/oder SCC |
Hinweis: Vom Auftraggeber selbst eingebundene Systeme (WordPress, Shopify, eigene CMS) sind keine Unterauftragsverarbeiter des Auftragnehmers.
Stand: 25. April 2026