1. Vertragsparteien
Dieser Auftragsverarbeitungsvertrag ("AVV") wird zwischen den folgenden Parteien geschlossen:
- Auftragsverarbeiter: Hareki LLC, New Mexico, USA ("Hareki", "wir")
- Verantwortlicher: Die natürliche oder juristische Person, die die Hareki Studio Plattform nutzt ("Nutzer", "Sie")
Dieser AVV ist integraler Bestandteil der Hareki Studio Nutzungsbedingungen und regelt die Rechte und Pflichten der Parteien hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag des Nutzers.
2. Begriffsbestimmungen
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (DSGVO Artikel 4/1, KVKK Artikel 3/d).
- Besondere Kategorien personenbezogener Daten: Sensible Kategorien wie rassische und ethnische Herkunft, politische Meinungen, Religion, Gesundheitsdaten usw. (DSGVO Artikel 9, KVKK Artikel 6).
- Datenverarbeitung: Jeder Vorgang, der an personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Erfassung, Organisation, Speicherung, Veränderung, Übermittlung, Löschung.
- Unterauftragsverarbeiter: Ein Drittanbieter, der beauftragt wird, personenbezogene Daten im Auftrag des Auftragsverarbeiters zu verarbeiten.
- Datenschutzverletzung: Ein Sicherheitsvorfall, der zu unbefugtem Zugriff, Verlust, Vernichtung, Veränderung oder Offenlegung personenbezogener Daten führt.
- Verantwortlicher: Die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
- Auftragsverarbeiter: Die natürliche oder juristische Person, die personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet.
3. Umfang und Zweck der Verarbeitung
Auf der Hareki Studio Plattform werden die folgenden Kategorien personenbezogener Daten verarbeitet:
| Datenkategorie | Verarbeitungszweck | Rechtsgrundlage |
|---|
| Markendaten (Logo, Farben, Tonalität) | KI-Inhaltsgenerierung | Vertragserfüllung |
| Kontoinformationen (Name, E-Mail) | Diensterbringung, Authentifizierung | Vertragserfüllung |
| Zahlungsdaten | Abrechnung über Stripe | Vertragserfüllung |
| Nutzungsdaten (Protokolle, Präferenzen) | Serviceverbesserung, Fehlerverfolgung | Berechtigtes Interesse |
| Generierte Inhalte | Inhaltsverwaltung und Export | Vertragserfüllung |
Es werden keine besonderen Kategorien personenbezogener Daten verarbeitet. Die Plattform erhebt keine Gesundheits-, biometrischen oder genetischen Daten.
4. Pflichten des Auftragsverarbeiters
Hareki LLC übernimmt als Auftragsverarbeiter die folgenden Verpflichtungen:
- Weisungsbefolgung: Verarbeitet personenbezogene Daten nur gemäß den dokumentierten schriftlichen Weisungen des Verantwortlichen. Informiert den Verantwortlichen vor der Verarbeitung, wenn eine gesetzliche Verpflichtung etwas anderes erfordert.
- Vertraulichkeitspflicht: Stellt sicher, dass alle Mitarbeitenden mit Zugang zu personenbezogenen Daten einer Vertraulichkeitsverpflichtung unterliegen. Diese Verpflichtung besteht nach Ende des Beschäftigungsverhältnisses fort.
- Sicherheitsmaßnahmen: Setzt gemäß DSGVO Artikel 32 technische und organisatorische Sicherheitsmaßnahmen um, die der Art der Verarbeitung angemessen sind (Details im Anhang).
- Einsatz von Unterauftragsverarbeitern: Holt die vorherige allgemeine schriftliche Zustimmung des Verantwortlichen ein, bevor Unterauftragsverarbeiter beauftragt werden. Informiert 30 Tage im Voraus bei Hinzufügen neuer Unterauftragsverarbeiter.
- Unterstützungspflicht: Bietet dem Verantwortlichen die erforderliche technische Unterstützung bei der Ausübung der Betroffenenrechte (Zugang, Berichtigung, Löschung, Übertragbarkeit).
- Datenlöschung/-rückgabe: Löscht oder gibt nach Beendigung des Verarbeitungsverhältnisses alle personenbezogenen Daten gemäß der Präferenz des Verantwortlichen zurück. Vorbehaltlich gesetzlicher Aufbewahrungspflichten.
- Prüfungsrecht: Akzeptiert, dass der Verantwortliche oder sein beauftragter unabhängiger Prüfer angemessene Audits durchführen kann, um die Einhaltung der Verpflichtungen aus diesem AVV zu überprüfen.
5. Unterauftragsverarbeiter
Hareki Studio nutzt die folgenden Unterauftragsverarbeiter für die Diensterbringung:
| Unterauftragsverarbeiter | Dienst | Standort |
|---|
| Vercel Inc. | Hosting, CDN, Edge Network | San Francisco, CA, USA |
| Supabase Inc. | Datenbank, Authentifizierung | San Francisco, CA, USA |
| OpenRouter / OpenAI | KI-Inhaltsverarbeitung | San Francisco, CA, USA |
| Stripe Inc. | Zahlungsabwicklung | San Francisco, CA, USA |
| Sentry | Fehlerverfolgung und Leistung | San Francisco, CA, USA |
| Resend | E-Mail-Zustellung | USA |
Änderungsmitteilung: Der Verantwortliche wird mindestens 30 Tage im Voraus schriftlich benachrichtigt, wenn ein neuer Unterauftragsverarbeiter hinzugefügt oder ein bestehender gewechselt wird.
Der Verantwortliche kann innerhalb von 14 Tagen ab dem Mitteilungsdatum mit begründeten Einwänden widersprechen. Kann der Einwand nicht beigelegt werden, kann der Verantwortliche den Vertrag kündigen.
6. Internationale Datenübermittlungen
Hareki LLC hat seinen Sitz in den USA und personenbezogene Daten werden auf Servern in den USA verarbeitet. Für Datenübermittlungen aus der EU/dem EWR oder der Türkei gelten die folgenden Schutzmechanismen:
- Standardvertragsklauseln (SCC): Die aktuellen Standardvertragsklauseln gemäß dem Durchführungsbeschluss der Europäischen Kommission vom 4. Juni 2021 (2021/914) finden Anwendung.
- EU-US-Datenschutzrahmen: Wird als zusätzlicher Schutzmechanismus berücksichtigt, soweit die entsprechenden Zertifizierungen der Unterauftragsverarbeiter gültig sind.
- Zusätzliche Schutzmaßnahmen: Ende-zu-Ende-Verschlüsselung (TLS 1.3), Pseudonymisierung und Zugriffskontrollen werden auf übermittelte Daten angewendet.
- KVKK-Konformität: Für Übermittlungen aus der Türkei werden die erforderlichen Zusicherungen und die Einhaltung von Ausschussentscheidungen gemäß KVKK Artikel 9 des Gesetzes Nr. 6698 sichergestellt.
7. Benachrichtigung bei Datenschutzverletzungen
Im Falle der Feststellung einer Datenschutzverletzung wird Hareki LLC:
- Den Verantwortlichen innerhalb von 72 Stunden nach Entdeckung der Verletzung schriftlich benachrichtigen.
- Die Benachrichtigung enthält die folgenden Informationen:
- Art und Umfang der Verletzung
- Betroffene Datenkategorien und geschätzte Anzahl der Datensätze
- Mögliche Folgen der Verletzung
- Ergriffene und empfohlene Maßnahmen
- Kontaktdaten der Ansprechperson
- Ergreift sofort die erforderlichen Maßnahmen, um die Auswirkungen der Verletzung zu mildern und ein Wiederauftreten zu verhindern.
- Bietet dem Verantwortlichen während des Untersuchungs- und Berichterstattungsprozesses volle Zusammenarbeit.
- Dokumentiert alle Fakten, Auswirkungen und Korrekturmaßnahmen im Zusammenhang mit der Verletzung.
8. Technische und organisatorische Maßnahmen (Anhang)
Gemäß DSGVO Artikel 32 angewandte Sicherheitsmaßnahmen:
8.1 Verschlüsselung
- Daten im Transit: TLS 1.3 Protokoll
- Daten im Ruhezustand: AES-256 Verschlüsselung
- Datenbankverbindungen: SSL/TLS verpflichtend
- Backups: Verschlüsselte Speicherung
8.2 Zugriffskontrolle
- Rollenbasierte Zugriffskontrolle (RBAC)
- Supabase Row Level Security (RLS) — Isolation auf Datenbankebene
- Mandantenbasierte Datentrennung — Multi-Tenant-Architektur
- Prinzip der geringsten Berechtigung
8.3 Authentifizierung
- Passwort-Hash: bcrypt-Algorithmus
- OAuth 2.0 Integrationen (Google, Apple, Microsoft, LinkedIn)
- Sitzungsverwaltung: JWT-Token, sicheres Cookie
- Ratenbegrenzung: Brute-Force-Schutz
8.4 Überwachung und Protokollierung
- Anwendungsfehlerverfolgung: Sentry
- Zugriffsprotokolle und Audit-Trail
- Erkennung ungewöhnlicher Aktivitäten
8.5 Backup und Notfallwiederherstellung
- Tägliches automatisches Datenbank-Backup
- Geografisch verteiltes Backup
- Point-in-Time-Recovery-Fähigkeit
- Notfallwiederherstellungsplan und regelmäßige Tests
8.6 Personal und Organisation
- Datenschutz-Sensibilisierungsschulung
- Vertraulichkeitsvereinbarungen (NDA)
- Regelmäßige Überprüfung der Zugriffsberechtigungen
- Verfahren zur Reaktion auf Sicherheitsvorfälle
9. Laufzeit und Beendigung
- Dieser AVV tritt mit Inkrafttreten der Nutzungsbedingungen in Kraft und bleibt für die Dauer der Dienstleistungsbeziehung gültig.
- Nach Beendigung der Dienstleistungsbeziehung löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen an den Verantwortlichen zurück.
- Daten, die aufgrund gesetzlicher Aufbewahrungspflichten aufbewahrt werden, werden am Ende des jeweiligen Zeitraums automatisch gelöscht.
- Eine schriftliche Bestätigung wird an den Verantwortlichen gesendet, wenn der Datenlöschungsprozess abgeschlossen ist.
10. Anwendbares Recht
- DSGVO: Datenschutz-Grundverordnung der Europäischen Union (Verordnung 2016/679) — anwendbar für Daten von EU-/EWR-Bürgern.
- KVKK: Gesetz Nr. 6698 zum Schutz personenbezogener Daten — anwendbar für Daten von Bürgern der Republik Türkei.
- Streitbeilegung: Streitigkeiten zwischen den Parteien werden zunächst gütlich beizulegen versucht. Kann keine Einigung erzielt werden, sind die Gerichte in New Mexico, USA zuständig.
Zuletzt aktualisiert: 12. März 2026 · Kontakt: legal@hareki.com