Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO
Version 1.4 · Stand: 2026-06-07
Vertragsparteien
Auftragsverarbeiter:
Tobias Hintzsche, handelnd unter „Wirtix"
Sanderglacisstraße 7
97072 Würzburg, Deutschland
E-Mail: tobias@wirtix.de
im Folgenden: „Auftragsverarbeiter"
Verantwortlicher:
Der Kunde, identifiziert durch die im Wirtix-Kundenkonto hinterlegten Stammdaten (insbesondere Firmenname, Anschrift, Kontakt-E-Mail-Adresse und USt-ID). im Folgenden: „Verantwortlicher"
– gemeinsam die „Parteien" –
Dieser Auftragsverarbeitungsvertrag (AVV) ist Anlage zu den Allgemeinen Geschäftsbedingungen (AGB) von Wirtix und wird mit der Annahme der AGB nach Maßgabe von § 12.5 dieses Vertrags in elektronischer Form bzw. Textform gemäß Art. 28 Abs. 9 DSGVO wirksam. Eine gesonderte Unterzeichnung ist nicht erforderlich.
§ 1 Einleitung, Geltungsbereich, Definitionen
1.1 Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 der EU-Datenschutz-Grundverordnung (im Folgenden „DSGVO").
1.2 Er findet auf alle Tätigkeiten Anwendung, bei denen der Auftragsverarbeiter, seine Beschäftigten oder durch ihn beauftragte Unterauftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeiten.
1.3 Die in diesem Vertrag verwendeten Begriffe sind entsprechend ihrer Definition in der DSGVO zu verstehen. Erklärungen, die „schriftlich" zu erfolgen haben, können auch in elektronischer Form (Textform gemäß § 126b BGB, z. B. per E-Mail) abgegeben werden, soweit eine angemessene Nachweisbarkeit gewährleistet ist.
1.4 Dieser Vertrag ist Bestandteil der zwischen den Parteien geschlossenen Vereinbarung zur Nutzung der Wirtix-Plattform (im Folgenden „Hauptvertrag"). Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag geht dieser Vertrag in datenschutzrechtlichen Fragen vor.
§ 2 Gegenstand und Dauer der Verarbeitung
2.1 Der Auftragsverarbeiter erbringt für den Verantwortlichen die in Anlage 1 beschriebenen Leistungen und verarbeitet dabei in dem dort beschriebenen Umfang personenbezogene Daten.
2.2 Gegenstand der Verarbeitung ist der Betrieb der Wirtix-Plattform: einer KI-gestützten SaaS-Lösung zur Verwaltung von Websites für Unternehmen im Gastgewerbe und Hotelbereich. Der Auftragsverarbeiter stellt dem Verantwortlichen eine mandantenfähige Web-Applikation bereit, über die der Verantwortliche eigene Website-Inhalte, Markeninformationen und ergänzende Geschäftsdaten pflegen und mittels natürlichsprachlicher Befehle verwalten kann.
2.3 Die Verarbeitung beginnt mit Abschluss des Hauptvertrags und endet mit dessen Beendigung, soweit nichts anderes vereinbart ist.
§ 3 Art und Zweck der Datenverarbeitung
3.1 Art und Zweck der Verarbeitung sind in Anlage 1 (Beschreibung der Verarbeitungstätigkeit) detailliert beschrieben. Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen und auf Weisung des Verantwortlichen.
3.2 Folgende Kategorien personenbezogener Daten werden verarbeitet:
- Stammdaten des Verantwortlichen und seiner Nutzer (Name, E-Mail-Adresse, Organisationszugehörigkeit)
- Authentifizierungsdaten (Passwort-Hash, Session-Token, MFA-Daten)
- Abrechnungsdaten (Name, Anschrift, Zahlungsmittelmetadaten – Kartendaten ausschließlich bei Stripe)
- Website-Inhalte und Mediendaten, die der Verantwortliche in die Plattform einpflegt
- KI-Konversationsdaten: Eingaben (Prompts) und Ausgaben (Antworten) des KI-Assistenten
- Sprachaufnahmen (Audio-Snippets): kurze Audio-Aufnahmen aus dem Voice-Input des KI-Assistenten, ausschließlich zur Transkription übermittelt
- Nutzungsmetadaten: Log-Daten, Fehlerberichte, Performance-Daten (IP-Adresse, Zeitstempel, User-Agent)
3.3 Von der Verarbeitung betroffen sind:
- Mitarbeitende und Nutzer des Verantwortlichen, die die Wirtix-Plattform verwenden
- Ggf. Endkunden des Verantwortlichen, soweit der Verantwortliche entsprechende Daten in die Plattform einpflegt
3.4 Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Gebiet der EU/des EWR oder in Drittländern, für die in Anlage 3 (Unterauftragsverarbeiter) entsprechende Transfergarantien ausgewiesen sind.
§ 4 Pflichten des Auftragsverarbeiters
4.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Der Auftragsverarbeiter verwendet die überlassenen Daten für keine anderen – insbesondere keine eigenen – Zwecke. Eine Nutzung der Daten zum Training, Feintuning oder zur sonstigen Verbesserung von KI-Modellen durch den Auftragsverarbeiter oder seine Unterauftragsverarbeiter ist ausdrücklich untersagt.
4.2 Vertraulichkeit
Der Auftragsverarbeiter verpflichtet sich, die Vertraulichkeit bei der Verarbeitung streng zu wahren. Alle Personen, die Zugang zu den im Auftrag verarbeiteten Daten erhalten können, sind schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlichen Geheimhaltungspflichten unterliegen.
Der Auftragsverarbeiter bestätigt, dass er die einschlägigen datenschutzrechtlichen Vorschriften kennt und die Grundsätze ordnungsgemäßer Datenverarbeitung beachtet.
4.3 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter setzt die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO um und hält sie aufrecht. Diese Maßnahmen definieren das vom Auftragsverarbeiter geschuldete Minimum.
Anpassungen sind zulässig, solange das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind dem Verantwortlichen unverzüglich mitzuteilen.
4.4 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen nach Art. 12–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Anfragen betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, leitet dieser unverzüglich an den Verantwortlichen weiter. Auskünfte an Dritte oder Betroffene erteilt der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung des Verantwortlichen.
4.5 Unterstützung bei Sicherheitspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO, insbesondere bei:
- der Sicherheit der Verarbeitung (Art. 32),
- der Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34),
- der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35),
- der vorherigen Konsultation der Aufsichtsbehörde (Art. 36).
4.6 Mitteilungspflichten bei Datenpannen
Verletzungen des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter dem Verantwortlichen unverzüglich, in der Regel binnen 72 Stunden nach Bekanntwerden. Die Meldung muss mindestens enthalten:
- Art der Verletzung (Kategorien und Anzahl betroffener Personen und Datensätze, soweit bekannt),
- Name und Kontaktdaten der Ansprechperson beim Auftragsverarbeiter,
- wahrscheinliche Folgen der Verletzung,
- ergriffene oder vorgeschlagene Abhilfemaßnahmen.
Der Auftragsverarbeiter informiert den Verantwortlichen zudem unverzüglich über Kontrollen oder Maßnahmen von Aufsichtsbehörden, die die Auftragsverarbeitung betreffen.
4.7 Datenschutzbeauftragter
Soweit gesetzlich verpflichtet, bestellt der Auftragsverarbeiter einen Datenschutzbeauftragten und teilt dessen Kontaktdaten dem Verantwortlichen unverzüglich mit. Änderungen in der Person des Beauftragten werden dem Verantwortlichen unverzüglich mitgeteilt.
4.8 Drittlandtransfers
Jede Verarbeitung personenbezogener Daten in einem Drittland (außerhalb EU/EWR) erfolgt nur auf Basis einer geeigneten Garantie nach Kapitel V DSGVO (Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstiger geeigneter Mechanismus) und ist in Anlage 3 ausgewiesen.
§ 5 Unterauftragsverarbeiter
5.1 Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern (Art. 28 Abs. 2 S. 2 DSGVO). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
5.2 Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor Aufnahme oder Wechsel eines Unterauftragsverarbeiters schriftlich per E-Mail an die im Kundenkonto hinterlegte E-Mail-Adresse. Die jeweils aktuelle Liste der Unterauftragsverarbeiter wird zusätzlich unter wirtix.de/sub-processors veröffentlicht. Der Verantwortliche kann der Beauftragung innerhalb der 30-Tage-Frist aus wichtigem Grund schriftlich widersprechen. Kommt keine Einigung zustande, ist jede Partei berechtigt, den Hauptvertrag außerordentlich zu kündigen.
5.3 Der Auftragsverarbeiter legt jedem Unterauftragsverarbeiter vertraglich Datenschutzpflichten auf, die inhaltlich den Pflichten dieses Vertrags entsprechen (Art. 28 Abs. 4 DSGVO). Er wählt Unterauftragsverarbeiter unter besonderer Berücksichtigung ihrer technischen und organisatorischen Maßnahmen sorgfältig aus und prüft deren Pflichterfüllung regelmäßig, mindestens jährlich.
5.4 Kein Unterauftragsverarbeiter und kein vom Unterauftragsverarbeiter eingesetzter KI-Modell-Anbieter darf die im Auftrag verarbeiteten Daten zum Training, Feintuning oder zur Weiterentwicklung von KI-Modellen verwenden. Der Auftragsverarbeiter stellt dies vertraglich durch entsprechende Klauseln in den jeweiligen Auftragsverarbeitungsvereinbarungen mit den KI-Anbietern sicher.
5.5 Die Beauftragung von Unterauftragsverarbeitern, die Verarbeitungen nicht ausschließlich innerhalb der EU/des EWR erbringen, ist nur unter den Bedingungen von § 4.8 dieses Vertrags zulässig.
§ 6 Technische und organisatorische Maßnahmen
6.1 Die in Anlage 2 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragsverarbeiter geschuldete Minimum.
6.2 Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind dem Verantwortlichen unverzüglich mitzuteilen.
6.3 Der Auftragsverarbeiter ist verpflichtet, im Auftrag verarbeitete Daten strikt von sonstigen Datenbeständen zu trennen.
§ 7 Berichtigung, Löschung und Sperrung von Daten
7.1 Im Rahmen des Auftrags verarbeitete Daten berichtigt, löscht oder sperrt der Auftragsverarbeiter ausschließlich entsprechend den getroffenen vertraglichen Vereinbarungen oder nach Weisung des Verantwortlichen.
7.2 Bei Beendigung des Vertragsverhältnisses oder auf Verlangen des Verantwortlichen löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück, es sei denn, das Unionsrecht oder das Recht eines Mitgliedstaats sieht die Speicherung vor. Es gilt die folgende Standard-Löschkette:
a) Der Verantwortliche kann seine Daten innerhalb von 30 Tagen ab Vertragsende über die Self-Service-Export-Funktion der Plattform selbst exportieren.
b) Der Auftragsverarbeiter löscht sämtliche im Auftrag verarbeiteten personenbezogenen Daten vollständig binnen 60 Tagen ab Vertragsende. Das Export-Fenster nach lit. a (Tag 0 bis Tag 30 ab Vertragsende) liegt innerhalb dieser Löschfrist (Tag 0 bis Tag 60 ab Vertragsende). Die technische Umsetzung erfolgt durch Soft-Delete bei Vertragsende und endgültige, nicht wiederherstellbare Löschung spätestens am 60. Tag (Anlage 2, Zeile „Datenlöschung").
c) Wählt der Verantwortliche den Anbieterwechsel nach dem Annex zum Anbieterwechsel der AGB (Verordnung (EU) 2023/2854 – „Data Act"), gelten an Stelle der Standard-Löschkette ausschließlich die dortigen Fristen (Wechselfrist von 2 Monaten, Übergangsfrist von 30 Kalendertagen, Datenabruffrist von 30 Kalendertagen, anschließende Löschung). Ein Wahlrecht zwischen beiden Fristenketten besteht nicht; maßgeblich ist die vom Verantwortlichen erklärte Absicht.
7.3 Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht möglich ist. Der Auftragsverarbeiter bestätigt die ordnungsgemäße Löschung auf Verlangen schriftlich.
§ 8 Rechte und Pflichten des Verantwortlichen
8.1 Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte betroffener Personen ist allein der Verantwortliche zuständig.
8.2 Der Verantwortliche erteilt alle Aufträge und Weisungen dokumentiert (E-Mail oder Ticketsystem genügt). In Eilfällen können Weisungen mündlich erteilt werden; der Verantwortliche bestätigt sie unverzüglich in Textform.
8.3 Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er bei der Nutzung der Plattform Fehler oder Unregelmäßigkeiten entdeckt, die datenschutzrechtlich relevant sein könnten.
8.4 Der Verantwortliche ist berechtigt, die Einhaltung der Datenschutzvorschriften und der Bestimmungen dieses Vertrags beim Auftragsverarbeiter in angemessenem Umfang zu überprüfen – durch Einsicht in relevante Dokumentationen oder Zertifikate. Vor-Ort-Kontrollen bedürfen einer Vorankündigung von mindestens 30 Tagen, sind auf die üblichen Geschäftszeiten beschränkt und finden nicht häufiger als einmal pro Kalenderjahr statt. Soweit kein Pflichtverstoß festgestellt wird, trägt der Verantwortliche die durch das Audit beim Auftragsverarbeiter entstehenden angemessenen Aufwände. Als gleichwertiges Audit-Surrogat gelten aktuelle SOC 2 Type II-Reports, ISO 27001-Zertifikate sowie schriftliche Auskünfte des Auftragsverarbeiters.
§ 9 Weisungen
9.1 Der Verantwortliche behält hinsichtlich der Verarbeitung ein umfassendes Weisungsrecht.
9.2 Zur Erteilung von Weisungen bevollmächtigte Personen sowie die Ansprechperson beim Auftragsverarbeiter sind in Anlage 4 benannt. Wechsel oder Verhinderungen sind der anderen Partei unverzüglich mitzuteilen.
9.3 Hält der Auftragsverarbeiter eine Weisung des Verantwortlichen für rechtswidrig, macht er den Verantwortlichen unverzüglich darauf aufmerksam. Er ist berechtigt, die Durchführung solange auszusetzen, bis die Weisung bestätigt oder geändert wird.
§ 10 Haftung
10.1 Für den Ersatz von Schäden, die eine Person wegen einer nach diesem Vertrag unzulässigen oder unrichtigen Datenverarbeitung erleidet, haften Verantwortlicher und Auftragsverarbeiter nach Maßgabe des Art. 82 DSGVO.
10.2 Der Auftragsverarbeiter trägt die Beweislast dafür, dass ein Schaden nicht auf einen von ihm zu vertretenden Umstand zurückzuführen ist, soweit die relevanten Daten von ihm im Rahmen dieser Vereinbarung verarbeitet wurden.
10.3 Die Haftung des Auftragsverarbeiters ist – außer bei Vorsatz und grober Fahrlässigkeit sowie bei Verletzung wesentlicher Vertragspflichten – auf die vorhersehbaren, vertragstypischen Schäden begrenzt und der Höhe nach auf maximal die Summe der vom Verantwortlichen in den letzten zwölf Monaten vor dem schadensauslösenden Ereignis gezahlten Entgelte aus dem Hauptvertrag begrenzt. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags.
§ 11 Sonderkündigungsrecht
11.1 Jede Partei kann diesen Vertrag und den Hauptvertrag jederzeit ohne Einhaltung einer Frist außerordentlich kündigen, wenn ein schwerwiegender Verstoß gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrags vorliegt und die andere Partei diesem Verstoß trotz Abmahnung nicht binnen angemessener Frist abhilft.
11.2 Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragsverarbeiter vereinbarte TOM in erheblichem Maße nicht erfüllt, Kontrollrechte des Verantwortlichen vertragswidrig verweigert oder Daten zu unerlaubten Zwecken (insbesondere für das Training von KI-Modellen) verarbeitet.
§ 12 Sonstiges
12.1 Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch nach Beendigung des Vertrags vertraulich zu behandeln.
12.2 Für Nebenabreden ist die Textform (§ 126b BGB) erforderlich.
12.3 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, unwirksame Bestimmungen durch rechtswirksame Regelungen zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommen.
12.4 Es gilt deutsches Recht. Gerichtsstand ist – soweit rechtlich zulässig – Würzburg.
12.5 Dieser Vertrag kommt durch die Annahme der AGB zustande (Ziffer 1.5 AGB). Die Annahme kann durch Unterzeichnung des Hauptvertrags oder durch elektronische Bestätigung im Rahmen des Onboarding-Prozesses erfolgen. Beide Formen genügen dem Erfordernis des Art. 28 Abs. 9 DSGVO (elektronische Form bzw. Textform gemäß § 126b BGB); eine gesonderte Unterzeichnung dieses AVV ist nicht erforderlich.
Zustandekommen des Vertrages
Dieser AVV ist Anlage zu den AGB von Wirtix und kommt ohne gesonderte Unterzeichnung zustande: Mit der Annahme der AGB (Ziffer 1.5 AGB) stimmt der Verantwortliche zugleich diesem AVV zu (Art. 28 Abs. 9 DSGVO; elektronische Form bzw. Textform gemäß § 126b BGB). Maßgeblich für Inhalt und Fassung ist die zum Zeitpunkt des Vertragsschlusses unter https://wirtix.de/avv veröffentlichte Version. Erfolgt die Annahme der AGB im Einzelfall durch Unterzeichnung eines schriftlichen Hauptvertrags, gilt dieser AVV als dessen Bestandteil mitvereinbart.
Anlage 1 – Beschreibung der Verarbeitungstätigkeit
Merkmal | Beschreibung |
|---|---|
Gegenstand | Betrieb der Wirtix-SaaS-Plattform zur KI-gestützten Verwaltung von Websites für Unternehmen im Gastgewerbe und Hotelbereich |
Verarbeitungszweck | Bereitstellung der Plattformfunktionen: Inhalts-Management, KI-Assistent (Text + Voice), Analytics-Dashboard, Abrechnungsmanagement |
Art der Verarbeitung | Erhebung, Speicherung, Veränderung, Auslesen, Verwendung, Offenlegung (gegenüber Sub-Prozessoren), Löschung |
Verarbeitungsdauer | Für die Laufzeit des Hauptvertrags; Löschung gemäß § 7 dieses Vertrags |
Verarbeitungsort | EU/EWR (primär), Drittländer gemäß Anlage 3 (Sub-Processors) |
Datenkategorien
Kategorie | Konkrete Daten | Betroffene Personen |
|---|---|---|
Stammdaten | Name, E-Mail-Adresse, Telefonnummer (optional) | Nutzer des Verantwortlichen (Mitarbeitende) |
Authentifizierung | Passwort-Hash (Argon2), Session-Tokens, MFA-Daten | Nutzer des Verantwortlichen |
Abrechnungsdaten | Name, Anschrift, USt-ID, Zahlungsmittelmetadaten | Rechnungsempfänger (i. d. R. Inhaber / Buchhaltung) |
Website-Inhalte | Texte, Bilder, Marken- und Produktdaten, SEO-Daten | Keine direkte Personenbeziehbarkeit (Ausnahme: Impressum-Daten) |
KI-Konversationen | Prompts und Antworten des KI-Assistenten | Nutzer des Verantwortlichen; ggf. genannte Dritte |
Sprachaufnahmen | Audio-Snippets aus dem Voice-Input des KI-Assistenten (Web und Mobile), ausschließlich zur Transkription übermittelt; keine Persistenz in Wirtix | Nutzer des Verantwortlichen |
Nutzungsmetadaten | IP-Adresse, Zeitstempel, Browser, Fehlerprotokolle | Nutzer des Verantwortlichen, Besucher der Tenant-Website |
OAuth-Tokens Dritter | Long-Lived Access- und Refresh-Tokens für vom Verantwortlichen verbundene Drittdienste (Google Analytics, Meta/Instagram), AES-256-GCM-verschlüsselt; Account-ID und öffentlicher Username des verbundenen Accounts | Inhaber des verbundenen Accounts (i. d. R. der Verantwortliche selbst) |
Posting-Inhalte für Instagram | Bilder, Karussell-Bilder, Captions, Hashtags, die der Verantwortliche zur Veröffentlichung an die Instagram Graph API freigibt | Vom Verantwortlichen verantwortete Inhalte; ggf. abgebildete Dritte |
Mobile Push-Tokens | Expo Push Tokens (pseudonyme Geräte-IDs), Plattform-Kennung (iOS/Android), Push-Inhalte (Titel und Text — können je nach Anlass personenbezogene Daten enthalten, z. B. Kundenname aus Rechnungs-Entwürfen), Deep-Link-IDs | Nutzer der Wirtix-Mobile-App (Inhaber/Mitarbeitende des Verantwortlichen) |
Hinweis zur KI-Verarbeitung
Der Auftragsverarbeiter setzt KI-Sprachmodelle ein, um dem Verantwortlichen einen natürlichsprachlichen Assistenten bereitzustellen. Eingaben (Prompts) und Ausgaben (Responses) werden ausschließlich über das Vercel AI Gateway (Sub-Processor #1) verarbeitet. Direkter Vertragspartner des Auftragsverarbeiters ist allein Vercel Inc.; die dahinter liegenden Modell-Anbieter sind Sub-Prozessoren von Vercel und ergeben sich aus der Vercel-Sub-Processor-Liste (https://vercel.com/legal/sub-processors). Das Vercel AI Gateway ist team-weit im Zero-Data-Retention-Modus konfiguriert: Prompts und Antworten werden nach Abschluss des jeweiligen Requests permanent gelöscht und nicht für Trainingszwecke verwendet.
Sprachaufnahmen für die Voice-Input-Funktion werden zur Transkription an Gladia SAS (Frankreich) übermittelt. Die Verarbeitung erfolgt vollständig innerhalb des EWR. Audio-Daten werden nach Transkription nicht in der Wirtix-Plattform persistiert.
Der Verantwortliche wird darauf hingewiesen, keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) in Prompts oder Sprachaufnahmen an den KI-Assistenten einzugeben, sofern hierfür keine gesonderte Vereinbarung getroffen wurde.
Hinweis zur Instagram-Integration (Meta Platforms)
Der Auftragsverarbeiter bietet eine OAuth-Integration mit der Instagram Graph API an, mit der der Verantwortliche Beiträge aus der Wirtix-Plattform an seinen eigenen Instagram-Business-Account veröffentlichen kann. Die Verbindung erfolgt ausschließlich auf Initiative des Verantwortlichen.
Im Verhältnis Verantwortlicher ↔ Meta Platforms Ireland Ltd. besteht hinsichtlich des Instagram-Auftritts des Verantwortlichen eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO („Page Controller Addendum"), die unmittelbar zwischen Verantwortlichem und Meta begründet wird und nicht Gegenstand dieses Vertrags ist.
Im Verhältnis Verantwortlicher ↔ Auftragsverarbeiter ist der Auftragsverarbeiter Auftragsverarbeiter im Sinne dieses Vertrags ausschließlich für die Token-Speicherung (AES-256-GCM-verschlüsselt) und das Posting auf Weisung des Verantwortlichen. Meta ist im Verhältnis zum Auftragsverarbeiter Datenempfänger und in Anlage 3 als Empfänger ausgewiesen.
Der Auftragsverarbeiter verarbeitet im Rahmen der Instagram-Integration ausschließlich die in Anlage 1 unter „OAuth-Tokens Dritter" und „Posting-Inhalte für Instagram" beschriebenen Daten und nutzt diese nur für die vom Verantwortlichen initiierten Veröffentlichungen. Eine Auswertung von Followern, Direktnachrichten oder Profilen Dritter durch den Auftragsverarbeiter findet nicht statt.
Anlage 2 – Technische und Organisatorische Maßnahmen (TOM)
Die vollständige Beschreibung der technischen und organisatorischen Maßnahmen wird dem Verantwortlichen auf Anfrage in der jeweils aktuellen Fassung zur Verfügung gestellt. Die wesentlichen Maßnahmen sind nachfolgend verbindlich tabellarisch zusammengefasst:
Schutzbereich | Maßnahme |
|---|---|
Zutrittskontrolle | Keine eigene Hardware; Cloud-Anbieter mit SOC 2 Type II und ISO 27001 (Vercel, AWS Frankfurt, Neon) |
Zugangskontrolle | Clerk-Authentifizierung mit Argon2-Hashing, optionaler MFA (TOTP), Brute-Force-Schutz (WAF, Rate Limiting) |
Zugriffskontrolle | Multi-Tenant Row-Level-Isolation; Field-Level-Access-Control; Super-Admin strikt getrennt |
Trennungskontrolle | Tenant-ID als Pflichtfeld auf allen Collections; Blob- und Cache-Keys mit Tenant-Prefix |
Verschlüsselung at-rest | AES-256 (Neon managed); OAuth-Tokens (Google Analytics, Meta/Instagram) applikationsseitig AES-256-GCM verschlüsselt mit Platform-Secret in Vercel Env Vars |
Verschlüsselung in transit | TLS 1.2+ auf allen Endpunkten; SSL-Pflicht für Datenbankverbindungen |
Verfügbarkeit | Vercel Auto-Scaling; Neon Multi-AZ-Failover; 7-Tage-PITR-Backup; 3-Tier Recovery-Konzept |
Incident Response | P0-Eskalationspfad; 72h-Meldung an Aufsichtsbehörde; Post-Mortem-Dokumentation |
Datenlöschung | Soft-Delete bei Vertragsende mit anschließender 60-Tage-Retention; kaskadierende, endgültige und nicht wiederherstellbare Löschung aller Tenant-Daten spätestens am 60. Tag ab Vertragsende. Self-Service-Export für den Verantwortlichen während der ersten 30 Tage ab Vertragsende (Export-Fenster innerhalb der Löschfrist). Beim Anbieterwechsel nach dem Annex zum Anbieterwechsel (Data Act) gelten stattdessen die dortigen längeren Fristen (Wechselfrist 2 Monate, Übergangsfrist 30 Kalendertage, Datenabruffrist 30 Kalendertage, Löschung nach Ablauf der Datenabruffrist). Etwaige Restbestände in Point-in-Time-Recovery-Backups (Aufbewahrung 7 Tage) laufen durch Ablauf des Backup-Fensters spätestens binnen 7 Tagen nach der Live-Löschung endgültig ab. |
KI-Datenschutz | Zero Data Retention (ZDR) team-weit aktiviert im Vercel AI Gateway; kein Training auf Kundendaten |
Voice-Datenschutz | Audio-Snippets nur für Dauer des Transkriptions-Requests im Memory der Serverless Function; keine Persistenz in Wirtix; Transkription bei Gladia SAS in Frankreich (EWR-intern) |
Mitarbeitende | Vertraulichkeitspflicht, jährliche Datenschutzschulung, Sofortentzug bei Austritt |
Geräte | Full-Disk-Encryption (FileVault/BitLocker), MFA auf allen Admin-Zugängen, Bildschirmsperre |
Anlage 3 – Genehmigte Unterauftragsverarbeiter
Stand: 2026-05-26 · Immer aktuelle Version: wirtix.de/sub-processors
# | Anbieter | Sitz | Region | Zweck | Drittlandgarantie |
|---|---|---|---|---|---|
1 | Vercel Inc. | USA | EU (fra1 Frankfurt) + Edge | Hosting, Functions, CDN, AI Gateway, Blob Storage, KV | DPF + SCC |
2 | Neon Inc. | USA | EU (AWS eu-central-1 Frankfurt) | PostgreSQL-Datenbank | DPF + SCC |
3 | Clerk Inc. | USA | USA | Authentifizierung, Session, Orgs | DPF (Angemessenheitsbeschluss Art. 45) |
4 | Resend Inc. | USA | EU (eu-west-1 Ireland) | Transaktionale E-Mails | DPF + SCC |
5 | Stripe Payments Europe Ltd. | Irland | EU/EWR | Zahlungsabwicklung, Abonnements | Innerhalb EWR |
6 | Upstash Inc. | USA | EU (Frankfurt) | Rate-Limiting, Domain-Cache | DPF + SCC |
7 | Functional Software Inc. (Sentry) | USA | EU-Instanz (de.sentry.io Frankfurt) | Error-Tracking, Performance-Monitoring | DPF + SCC |
8 | Gladia SAS | Frankreich (Paris) | EU | Audio-Transkription (Speech-to-Text) für Voice-Input des KI-Assistenten | Innerhalb EWR — keine Drittland-Garantie nötig |
9 | Google Ireland Ltd. (Google Analytics 4) | Irland | EU | Analytics-Dashboards im Tenant-Admin (per OAuth des Verantwortlichen) | Innerhalb EWR; Konzern-Weitergabe an Google LLC (USA) via DPF |
10 | Meta Platforms Ireland Ltd. (Instagram Graph API) | Irland | EU + USA (Konzern) | Posting an den vom Verantwortlichen verbundenen Instagram-Business-Account (per OAuth des Verantwortlichen) | EWR-Sitz; Konzern-Weitergabe an Meta Platforms Inc. (USA) via DPF |
11 | 650 Industries, Inc. (Betreiberin der Marke „Expo") | USA (Palo Alto, CA) | USA | Push-Benachrichtigungs-Relay für die Wirtix-Mobile-App; Weiterleitung an Apple Push Notification Service (Apple Inc., USA) bzw. Firebase Cloud Messaging (Google LLC, USA) | DPF (Angemessenheitsbeschluss Art. 45 DSGVO); Apple und Google ebenfalls DPF-zertifiziert |
Hinweis zur Instagram-Integration
Meta Platforms ist im Verhältnis zu Wirtix Datenempfänger und keine Auftragsverarbeiterin im engeren Sinne — Meta verarbeitet die im Rahmen des Postings übermittelten Inhalte als eigene Verantwortliche bzw. gemeinsam Verantwortliche mit dem Verantwortlichen (Page Controller Addendum, Art. 26 DSGVO). Die Aufnahme in dieser Liste erfolgt aus Transparenzgründen, weil im Rahmen der OAuth-basierten Integration personenbezogene Daten des Verantwortlichen (Token, Account-ID, Username) bei Meta verarbeitet und Inhalte an Meta übermittelt werden.
Hinweis zur LLM-Subauftragsverarbeiter-Kette
KI-Sprachmodelle werden ausschließlich indirekt über das Vercel AI Gateway (Sub-Processor #1) genutzt. Direkter Vertragspartner von Wirtix ist allein Vercel Inc.; die jeweils eingesetzten Modell-Anbieter (z. B. Anthropic, Google Gemini, OpenAI) sind Sub-Prozessoren von Vercel und werden in der Vercel-Sub-Processor-Liste geführt: https://vercel.com/legal/sub-processors.
Für die Audio-Transkription besteht ein direktes Vertragsverhältnis zwischen Wirtix und Gladia SAS in Frankreich (EWR-intern, kein Drittlandtransfer).
Für alle KI-Sprachmodelle gilt: Zero Data Retention – Prompts und Antworten werden nach Abschluss des jeweiligen Requests permanent gelöscht und nicht für Trainingszwecke verwendet.
Änderungen an der Liste werden dem Verantwortlichen gemäß § 5.2 dieses Vertrags mindestens 30 Tage vor Wirksamwerden mitgeteilt.
Anlage 4 – Weisungsberechtigte Personen
1. Weisungserteilung (Verantwortlicher)
Weisungsberechtigt seitens des Verantwortlichen sind die im Wirtix-Kundenkonto als Mitglieder der zugeordneten Organisation hinterlegten Personen (insbesondere der Inhaber/Owner-Account sowie weitere mit Administrator-Rolle eingeladene Nutzer). Die jeweils aktuell Berechtigten ergeben sich aus den Account-Einstellungen und können vom Verantwortlichen jederzeit selbst verwaltet werden.
2. Weisungsannahme (Auftragsverarbeiter – Wirtix)
Name | Funktion | Telefon | |
|---|---|---|---|
Tobias Hintzsche | Geschäftsführer / Datenschutz | tobias@wirtix.de | +49 157 858 87648 |
Wechsel oder längerfristige Verhinderungen werden der jeweils anderen Partei unverzüglich auf elektronischem Wege mitgeteilt (auf Wirtix-Seite per E-Mail an die im Kundenkonto hinterlegte Adresse, auf Kundenseite über die Account-Verwaltung).