AEXO
Zurück zur Startseite

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO  ·  AEXO – aexo.tech  ·  Stand: Juni 2026

§ 1 Vertragsgegenstand

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Kunden im Rahmen der Nutzung der SaaS-Plattform AEXO.

Auftraggeber (Verantwortlicher)

Der Kunde gemäß Nutzungsvertrag auf aexo.tech

Auftragnehmer (Auftragsverarbeiter)

Jürgen Sabelhaus
Sandkuhle 8, 05908 Lingen
aexo@gmail.com

§ 2 Art, Zweck und Umfang der Datenverarbeitung

  1. Art der Daten: Kontaktdaten, Shop-Daten, Kundendaten des Auftraggebers, E-Mail-Adressen, Nutzungsdaten, sonstige vom Auftraggeber in die Plattform eingespeiste Daten.
  2. Kategorien betroffener Personen: Kunden und Interessenten des Auftraggebers, Mitarbeiter des Auftraggebers.
  3. Zweck der Verarbeitung: Bereitstellung der AEXO-Plattform, insbesondere KI-gestützte Erstellung von Marketinginhalten, Shop-Integrationen, E-Mail-Kampagnen und Analysen.
  4. Dauer: Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags. Nach Vertragsende werden die Daten gemäß § 8 dieses AVV gelöscht oder zurückgegeben.

§ 3 Weisungsrecht

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.
  2. Die Weisungen werden im Rahmen der Plattformnutzung durch den Auftraggeber erteilt. Weisungen, die über die vereinbarte Leistung hinausgehen, bedürfen der schriftlichen Vereinbarung.
  3. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

§ 4 Vertraulichkeit

  1. Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
  2. Der Auftragnehmer gibt die Daten nicht an Dritte weiter, es sei denn, dies ist zur Erbringung der vereinbarten Leistungen erforderlich oder gesetzlich vorgeschrieben.

§ 5 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

Zugriff Passwortschutz und rollenbasierte Zugriffsrechte
Übertragung Verschlüsselung via HTTPS/TLS für alle Datenübertragungen
Speicherung Verschlüsselte Datenhaltung auf gesicherten Servern
Verfügbarkeit Regelmäßige Backups und Notfallkonzept
Pseudonymisierung Wo technisch möglich und sinnvoll
Zutritt Physischer Zugang zu Serversystemen nur für autorisierte Personen (Hosting-Anbieter)

Die TOM können vom Auftragnehmer angepasst werden, sofern das Schutzniveau nicht unterschritten wird.

§ 6 Unterauftragsverarbeiter

  1. Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:
    Dienstleister Zweck Sitz
    Anthropic (Claude API) KI-Textgenerierung USA
    Stripe Inc. Zahlungsabwicklung USA
    Vercel Inc. Hosting / Infrastruktur USA / EU
    Supabase Inc. Datenbank / Authentifizierung USA / EU
  2. Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen bei Unterauftragsverarbeitern. Der Auftraggeber kann Änderungen innerhalb von 14 Tagen widersprechen.
  3. Bei Unterauftragsverarbeitern außerhalb der EU/des EWR (z. B. Anthropic, Stripe) stellt der Auftragnehmer sicher, dass ein angemessenes Datenschutzniveau besteht (z. B. durch EU-Standardvertragsklauseln oder Angemessenheitsbeschluss).

§ 7 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Möglichen bei:

  • der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit)
  • der Erfüllung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung)

§ 8 Löschung und Rückgabe

  1. Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  2. Auf Anfrage kann der Auftraggeber vor Löschung eine Datenexport-Funktion in Anspruch nehmen.

§ 9 Kontrollrechte

  1. Der Auftraggeber hat das Recht, die Einhaltung dieses AVV durch den Auftragnehmer zu überprüfen, entweder selbst oder durch einen beauftragten Dritten.
  2. Kontrollen sind mit angemessener Vorlaufzeit (mindestens 14 Tage) schriftlich anzukündigen und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.

§ 10 Meldepflichten

  1. Der Auftragnehmer meldet Datenschutzverletzungen, die ihm bekannt werden, unverzüglich, spätestens jedoch innerhalb von 72 Stunden, an den Auftraggeber.
  2. Die Meldung enthält alle verfügbaren Informationen gemäß Art. 33 Abs. 3 DSGVO.

§ 11 Schlussbestimmungen

  1. Dieser AVV ist Bestandteil des Nutzungsvertrags zwischen Auftraggeber und Auftragnehmer.
  2. Im Falle von Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag hat dieser AVV in datenschutzrechtlichen Fragen Vorrang.
  3. Es gilt deutsches Recht. Gerichtsstand ist Lingen (Ems).

Auftragnehmer: Jürgen Sabelhaus, Sandkuhle 8, 05908 Lingen  ·  aexo@gmail.com  ·  Stand: Juni 2026