Stand: Juli 2026
Auftragsverarbeitung AVV.
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) ist Bestandteil der Allgemeinen Geschäftsbedingungen der InPRESSd GmbH, Kantstr. 15, 68165 Mannheim (nachfolgend „Anbieter“), und wird mit Abschluss des Nutzungsvertrags automatisch mit jedem Kunden geschlossen. Er gilt ergänzend zu den AGB für alle Verarbeitungen personenbezogener Daten, die der Anbieter im Auftrag des Kunden im Sinne des Art. 28 DSGVO vornimmt.
§ 1 Gegenstand und Dauer der Verarbeitung
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Kunden im Rahmen der Bereitstellung der Plattform „InPressd“ unter www.inpressd.com. Der Kunde ist für die in § 2 genannten Verarbeitungen Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO; der Anbieter handelt insoweit als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO.
Nicht Gegenstand dieses AVV sind Verarbeitungen, die der Anbieter in eigener Verantwortung vornimmt, insbesondere die Verwaltung des Vertragsverhältnisses, die Abrechnung sowie der Betrieb und die Absicherung der Plattform. Einzelheiten hierzu enthält die Datenschutzerklärung.
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags über die Nutzung der Plattform. Dieser AVV endet automatisch mit der Beendigung des Hauptvertrags; die Pflichten aus § 11 bleiben hiervon unberührt.
§ 2 Art, Zweck und Umfang der Verarbeitung
Der Anbieter verarbeitet im Auftrag des Kunden insbesondere die folgenden Kategorien personenbezogener Daten zu den jeweils genannten Zwecken:
| Verarbeitungstätigkeit | Datenkategorien | Betroffene Personen |
|---|---|---|
| Verwaltung von Team-Mitgliedern des Kunden | Name, E-Mail-Adresse, Rolle (Owner/Admin/Editor), ggf. Profilbild, Spracheinstellung, Aktivitäts-Zeitstempel | Mitarbeiter und Beauftragte des Kunden |
| Showroom-Kontaktanfragen und Presse-Leads über den öffentlichen Showroom des Kunden | Name, E-Mail-Adresse, Firma/Outlet, Nachricht | Interessenten, Pressevertreter, Einkäufer |
| Erfassung von Presse-Downloads im Showroom des Kunden | Download-Ereignis, zugehörige Lead-ID, IP-Adresse (ausschließlich als gesalzener Hash), User-Agent (auf 500 Zeichen begrenzt) | Pressevertreter und Interessenten |
| Versand von Selection-Einladungen im Auftrag des Kunden | E-Mail-Adressen der Empfänger, Versand- und Abrufzeitpunkte der Einladung | Einkäufer und Geschäftskontakte des Kunden |
| Darstellung von Presse- und Ansprechpartner-Daten im Showroom | Name und Kontaktdaten der vom Kunden benannten Ansprechpartner | Ansprechpartner des Kunden |
| Synchronisation von Produktdaten aus Shopify (nur bei aktivierter Integration) | Produkt- und Bestandsdaten; personenbezogene Daten nur, soweit sie in diesen Daten enthalten sind | Ggf. in Produktdaten genannte Personen |
| KI-gestützte Text-, Bild- und Videogenerierung auf Grundlage vom Kunden bereitgestellter Inhalte | Personenbezogene Daten nur, soweit sie in den Eingaben enthalten sind (z. B. Namen und Kontaktdaten von Ansprechpartnern in Pressetexten oder auf hochgeladenen Bildern abgebildete Personen) | Ansprechpartner und Mitarbeiter des Kunden, ggf. auf Bildern abgebildete Personen |
Kategorien betroffener Personen sind demnach insbesondere: Mitarbeiter des Kunden, Interessenten, Pressevertreter und Einkäufer, die mit dem Kunden über die Plattform in Kontakt treten, sowie Ansprechpartner des Kunden. Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO sind nicht Gegenstand der Verarbeitung im Auftrag; der Kunde ist verpflichtet, solche Daten nicht über die vorgenannten Funktionen zu verarbeiten.
§ 3 Pflichten des Kunden
Der Kunde ist als Verantwortlicher für die Rechtmäßigkeit der Verarbeitung, die Wahrung der Rechte der betroffenen Personen sowie die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO — insbesondere gegenüber Besuchern seines Showrooms und Empfängern von Selection-Einladungen — allein verantwortlich (Art. 28 Abs. 3 Satz 1 DSGVO).
Der Kunde stellt sicher, dass die von ihm in die Plattform eingebrachten personenbezogenen Daten rechtmäßig erhoben wurden und ihre Verarbeitung im Auftrag auf einer tragfähigen Rechtsgrundlage beruht. Stellt der Kunde bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten fest, informiert er den Anbieter unverzüglich.
§ 4 Weisungsrecht des Kunden
Der Anbieter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Kunden, sofern er nicht durch das Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Anbieter dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
Die Nutzung der Funktionen der Plattform durch den Kunden und seine Team-Mitglieder (etwa das Einladen von Team-Mitgliedern, das Freischalten des öffentlichen Showrooms, der Versand von Selection-Einladungen oder die Aktivierung der Shopify-Integration) gilt als dokumentierte Weisung im Sinne dieses AVV. Ergänzende oder abweichende Weisungen bedürfen der Textform und sind an info@inpressd.com zu richten.
Ist der Anbieter der Auffassung, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, informiert er den Kunden unverzüglich. Der Anbieter ist berechtigt, die Ausführung der betreffenden Weisung bis zu ihrer Bestätigung oder Änderung durch den Kunden auszusetzen.
§ 5 Vertraulichkeit
Der Anbieter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 Satz 2 lit. b DSGVO). Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des jeweiligen Beschäftigungs- oder Auftragsverhältnisses fort. Der Zugriff auf personenbezogene Daten wird auf diejenigen Personen beschränkt, die ihn zur Erfüllung ihrer Aufgaben benötigen.
§ 6 Technische und organisatorische Maßnahmen
Der Anbieter trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO. Hierzu gehören insbesondere:
- Transportverschlüsselung sämtlicher Datenübertragungen mittels TLS;
- serverseitige Funktionsausführung (Anwendungslogik und API-Verarbeitung) in der EU — Vercel-Region Frankfurt am Main (eu-central-1, Deutschland);
- AES-256-Verschlüsselung besonders sensibler Datensätze im Ruhezustand, insbesondere von API-Zugangstokens (z. B. Shopify) und Bankverbindungsdaten (IBAN);
- Datenbankzugriffe ausschließlich über serverseitige Komponenten; ein direkter Client-Zugriff auf die Datenbank (Firestore) ist durch Security Rules gesperrt;
- Sitzungsverwaltung über httpOnly-Session-Cookies mit den Attributen secure und sameSite;
- rollenbasiertes Berechtigungskonzept innerhalb eines Kunden-Accounts (Owner/Admin/Editor);
- Rate-Limiting zur Abwehr missbräuchlicher Zugriffe; IP-Adressen werden hierbei nur flüchtig verarbeitet und — soweit im Zusammenhang mit Presse-Downloads gespeichert — ausschließlich als gesalzener Hash abgelegt;
- laufendes technisches Monitoring und Fehlerdiagnose zur Sicherstellung von Verfügbarkeit und Belastbarkeit der Systeme.
Die Maßnahmen unterliegen dem technischen Fortschritt. Der Anbieter darf sie durch gleichwertige oder bessere Maßnahmen ersetzen, sofern das Schutzniveau insgesamt nicht unterschritten wird.
§ 7 Subunternehmer
Der Kunde erteilt dem Anbieter die allgemeine Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO, für die Verarbeitung im Auftrag weitere Auftragsverarbeiter (Subunternehmer) hinzuzuziehen. Zum Zeitpunkt des Vertragsschlusses setzt der Anbieter die folgenden Subunternehmer ein:
| Subunternehmer | Leistung | Sitz / Verarbeitungsort | Übermittlungsgarantie |
|---|---|---|---|
| Google Ireland Ltd. / Google LLC | Firebase: Authentifizierung, Datenbank (Firestore), Cloud Storage | EU / USA | EU-US Data Privacy Framework |
| Vercel Inc. | Hosting, AI Gateway | USA; Funktionsausführung in der Region Frankfurt (eu-central-1, Deutschland) | EU-US Data Privacy Framework |
| Resend Inc. | Versand transaktionaler E-Mails | USA | EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln |
| Functional Software, Inc. dba Sentry | Fehlerdiagnose (Fehlermeldungen können im Einzelfall im Auftrag verarbeitete Daten enthalten) | USA | EU-US Data Privacy Framework |
| Anthropic, PBC | KI-gestützte Texterstellung sowie automatisierte Prüfung und Analyse generierter bzw. hochgeladener Bilder (Claude, über das Vercel AI Gateway) | USA | EU-US Data Privacy Framework |
| OpenAI, L.L.C. | KI-gestützte Texterstellung (GPT, über das Vercel AI Gateway) | USA | EU-US Data Privacy Framework |
| Google LLC | KI-gestützte Bilderzeugung (Gemini) und Videoerzeugung (Veo), über das Vercel AI Gateway | USA | EU-US Data Privacy Framework |
Die Shopify International Ltd. wird vom Kunden auf Grundlage seines eigenen Vertrags mit Shopify eingesetzt und ist kein Subunternehmer im Sinne dieses AVV; der Anbieter greift im Rahmen der Integration lediglich auf die vom Kunden autorisierte Schnittstelle zu. Die Stripe Payments Europe, Ltd. bzw. Stripe, Inc. agiert für die Zahlungsabwicklung teilweise als eigenständiger Verantwortlicher und ist ebenfalls kein Subunternehmer im Sinne dieses AVV.
Der Anbieter informiert den Kunden in Textform — per E-Mail an die im Account hinterlegte E-Mail-Adresse des Kontoinhabers (Owner) — über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern. Der Kunde kann der Änderung innerhalb von 14 Tagen nach Zugang der Information aus wichtigem datenschutzrechtlichen Grund widersprechen. Kommt eine einvernehmliche Lösung nicht zustande, sind beide Parteien berechtigt, den Hauptvertrag mit Wirkung zum Zeitpunkt der beabsichtigten Änderung zu kündigen.
Der Anbieter verpflichtet Subunternehmer im Wesentlichen auf dieselben Datenschutzpflichten, wie sie in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO). Soweit Subunternehmer personenbezogene Daten in Drittländern verarbeiten, stellt der Anbieter geeignete Garantien im Sinne der Art. 44 ff. DSGVO sicher, insbesondere durch Zertifizierungen unter dem EU-US Data Privacy Framework oder den Abschluss von EU-Standardvertragsklauseln.
§ 8 Unterstützung bei Betroffenenrechten
Der Anbieter unterstützt den Kunden angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch) nachzukommen (Art. 28 Abs. 3 Satz 2 lit. e DSGVO).
Wendet sich eine betroffene Person unmittelbar an den Anbieter, leitet der Anbieter das Ersuchen unverzüglich an den Kunden weiter, soweit sich das Ersuchen einer Verarbeitung im Auftrag des Kunden zuordnen lässt. Der Anbieter beantwortet solche Ersuchen nicht ohne vorherige Weisung des Kunden, sofern er hierzu nicht gesetzlich verpflichtet ist.
§ 9 Meldung von Datenschutzverletzungen und weitere Unterstützungspflichten
Der Anbieter informiert den Kunden unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die im Rahmen der Verarbeitung im Auftrag eingetreten ist. Die Information enthält, soweit möglich, die in Art. 33 Abs. 3 DSGVO genannten Angaben, insbesondere die Art der Verletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen und vorgeschlagenen Maßnahmen.
Der Anbieter unterstützt den Kunden bei der Einhaltung seiner Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen nach Art. 33 und Art. 34 DSGVO. Die Meldung an die Aufsichtsbehörde und die Benachrichtigung betroffener Personen obliegen dem Kunden als Verantwortlichem.
Der Anbieter unterstützt den Kunden darüber hinaus unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO) (Art. 28 Abs. 3 Satz 2 lit. f DSGVO).
§ 10 Nachweise und Kontrollrechte
Der Anbieter stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind, und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Kunden oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu ihnen bei (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).
Nachweise können insbesondere durch die Vorlage aktueller Zertifizierungen, Testate und Prüfberichte der eingesetzten Subunternehmer sowie durch schriftliche Auskünfte des Anbieters erbracht werden. Kontrollen vor Ort erfolgen nach vorheriger Ankündigung mit angemessener Frist, während der üblichen Geschäftszeiten, ohne Störung des Geschäftsbetriebs und höchstens einmal jährlich, sofern kein konkreter, durch den Kunden dokumentierter Anlass eine weitergehende Kontrolle erfordert.
§ 11 Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Hauptvertrags löscht der Anbieter auf Anfrage des Kunden alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie in einem gängigen Format zurück, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur weiteren Speicherung besteht (Art. 28 Abs. 3 Satz 2 lit. g DSGVO). Löschanfragen sind an info@inpressd.com zu richten.
Erteilt der Kunde innerhalb von 90 Tagen nach Beendigung des Hauptvertrags keine Weisung zur Rückgabe oder Löschung, löscht der Anbieter die im Auftrag verarbeiteten personenbezogenen Daten nach Ablauf dieser Frist, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
Gesetzliche Aufbewahrungspflichten des Anbieters, insbesondere handels- und steuerrechtlicher Art, bleiben unberührt; die betreffenden Daten werden für die Dauer der Aufbewahrungspflicht gesperrt und anschließend gelöscht. Sicherungskopien, deren gesonderte Löschung technisch nur mit unverhältnismäßigem Aufwand möglich ist, werden im Rahmen der turnusmäßigen Löschzyklen überschrieben und bis dahin nicht weiterverarbeitet.
§ 12 Schlussbestimmungen
Bei Widersprüchen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen der Parteien gehen in Fragen des Datenschutzes die Regelungen dieses AVV vor. Im Übrigen bleiben die AGB unberührt.
Die Haftung der Parteien richtet sich nach den Regelungen der AGB. Die Haftung des Anbieters und des Kunden gegenüber betroffenen Personen nach Art. 82 DSGVO bleibt hiervon unberührt.
Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; zwingende Anforderungen des Art. 28 DSGVO gehen einer abweichenden Regelung in jedem Fall vor.