Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO. Dieser Vertrag gilt automatisch mit Abschluss des Nutzungsvertrags für SnipKit.
Zuletzt aktualisiert: 20. April 2026
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:
dem Kunden (nachfolgend „Auftraggeber" oder „Verantwortlicher"), der die SnipKit-Dienste nutzt,
und
Markus Schütze
Im Siefchen 1, 51643 Gummersbach, Deutschland
E-Mail: hello@snipkit.eu
(nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter"), Betreiber von SnipKit.
Zweck dieses AVV ist die Regelung der datenschutzrechtlichen Pflichten der Parteien bei der Auftragsverarbeitung personenbezogener Daten im Rahmen der Video-Orchestrierungs-Dienste von SnipKit gemäß Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
1.1 Gegenstand
Gegenstand der Auftragsverarbeitung ist die Erbringung der SnipKit-Dienste, insbesondere:
- KI-basierte Storyboard-Generierung aus Text-Briefings
- Orchestrierung von Video- und Audio-Generierung via BYOK-Provider
- FFmpeg-basiertes Video-Compositing auf EU-Servern
- Temporäre Speicherung von Verarbeitungs-Assets und fertigen Videos
- Credit-Verwaltung und API-Zugriffskontrolle
1.2 Dauer
Dieser AVV gilt für die gesamte Laufzeit des Nutzungsvertrags zwischen Auftraggeber und Auftragnehmer. Mit Beendigung des Nutzungsvertrags endet auch dieser AVV, vorbehaltlich der in § 5.5 geregelten Löschpflichten.
§ 2 Art und Zweck der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Dienste. Die Verarbeitungstätigkeiten umfassen:
| Tätigkeit | Zweck | Standort |
|---|---|---|
| Entgegennahme von Text-Briefings | Eingabe für die KI-Pipeline | EU (Hostinger VPS) |
| Storyboard-Generierung (Mistral AI) | KI-basierte Szenenplanung | Paris, Frankreich, EU |
| Weiterleitung an BYOK-Provider | Video- und Audio-Generierung | Gemäß Provider (Verantwortung Kunde) |
| FFmpeg-Compositing | Zusammenschnitt zum fertigen MP4 | EU (Hostinger VPS) |
| Speicherung fertiger Videos | Download-Bereitstellung (30 Tage) | Frankfurt, EU (Supabase Storage) |
| Authentifizierung und Abrechnung | Zugriffskontrolle, Credit-Verwaltung | Frankfurt, EU (Supabase DB) |
§ 3 Art der personenbezogenen Daten
Im Rahmen der Auftragsverarbeitung können folgende Kategorien personenbezogener Daten verarbeitet werden:
- Identifikationsdaten: E-Mail-Adresse des Kunden (Kontoinhaberin oder Kontoinhaber)
- API-Nutzungsdaten: Job-IDs, Zeitstempel, Template-Nutzung, Credit-Verbrauch, IP-Adresse (technisch notwendig)
- Text-Briefings: Vom Auftraggeber übermittelte Texte zur Video-Erstellung; können personenbezogene Daten enthalten
- BYOK API-Keys: Kundeneigene API-Schlüssel für Video- und TTS-Provider, AES-256-GCM-verschlüsselt gespeichert
- Generierte Videoinhalte: In Videos dargestellte Personen (z. B. durch KI generierte Avatare oder vom Kunden bereitgestellte Bilder)
§ 4 Kategorien betroffener Personen
Von der Auftragsverarbeitung können folgende Kategorien natürlicher Personen betroffen sein:
- Kunden / API-Nutzer: Natürliche Personen, die die SnipKit-API im Rahmen ihrer Tätigkeit (gewerblich oder freiberuflich) nutzen
- Mitarbeiterinnen und Mitarbeiter des Auftraggebers: Soweit diese die API im Namen des Auftraggebers verwenden
- In Inhalten dargestellte Personen: Natürliche Personen, die in Video-Briefings referenziert oder in generierten Videos dargestellt werden (z. B. durch BYOK-Eingaben des Auftraggebers)
§ 5 Pflichten des Auftragsverarbeiters
5.1 Weisungsgebundenheit
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Nutzung der SnipKit-API sowie die Konfiguration über API-Parameter gelten als dokumentierte Weisungen. Weisungen, die gegen geltendes Datenschutzrecht verstoßen, wird der Auftragnehmer dem Auftraggeber unverzüglich mitteilen.
5.2 Vertraulichkeit
Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit. Zugang zu personenbezogenen Daten erhalten nur Personen, die dies zur Erbringung des Dienstes benötigen (Need-to-know-Prinzip).
5.3 Unterstützung bei Betroffenenrechten
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist. Anfragen von betroffenen Personen, die direkt beim Auftragnehmer eingehen, werden unverzüglich an den Auftraggeber weitergeleitet.
5.4 Unterstützung bei Datenschutz-Folgenabschätzung
Der Auftragnehmer unterstützt den Auftraggeber bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO sowie bei der vorherigen Konsultation gemäß Art. 36 DSGVO, soweit erforderlich.
5.5 Löschung nach Auftragsende
Nach Beendigung des Nutzungsvertrags werden personenbezogene Daten gemäß folgenden Fristen gelöscht:
| Datenkategorie | Löschfrist |
|---|---|
| Kontodaten (E-Mail) | 90 Tage nach Vertragsende |
| Fertige Videos (MP4) | 30 Tage (laufende automatische Löschung) |
| Intermediäre Assets (Storyboards, Szenen) | 24 Stunden (laufende automatische Löschung) |
| BYOK API-Keys | Sofortige Löschung bei Kontolöschung |
| Rechnungsdaten | 10 Jahre (gesetzliche Aufbewahrungspflicht, § 147 AO) |
Auf Verlangen des Auftraggebers stellt der Auftragnehmer einen Nachweis über die erfolgte Löschung aus.
5.6 Audit-Unterstützung
Der Auftragnehmer duldet Kontrollen durch den Auftraggeber oder von diesem beauftragte Prüfer und unterstützt diese in angemessenem Umfang. Audits sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen.
§ 6 Unterauftragsverarbeiter
Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung für den Einsatz folgender Unterauftragsverarbeiter:
| Anbieter | Zweck | Standort | Schutzinstrument |
|---|---|---|---|
| Supabase GmbH | Datenbank, Auth, Storage | Frankfurt, EU | AVV, EU-Datenschutzrecht |
| Hostinger International Ltd. | API-Server, Video-Rendering | EU (VPS) | AVV, EU-Datenschutzrecht |
| Mistral AI SAS | KI-Storyboard-Generierung | Paris, Frankreich, EU | AVV, EU-Datenschutzrecht |
| Vercel Inc. | Website-Hosting (snipkit.eu) | USA | EU-US Data Privacy Framework |
Über den Einsatz neuer oder die Änderung bestehender Unterauftragsverarbeiter wird der Auftraggeber per E-Mail informiert. Der Auftraggeber kann Änderungen innerhalb von 14 Tagen widersprechen.
§ 7 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer hat gemäß Art. 32 DSGVO folgende technische und organisatorische Maßnahmen implementiert:
Zutrittskontrolle
Server-Hardware wird bei Hostinger International Ltd. betrieben. Physischer Zugang zu Rechenzentren ist ausschließlich autorisierten Hostinger-Mitarbeitern möglich.
Zugangskontrolle
Alle Server-Zugänge erfolgen ausschließlich über SSH-Key-Authentifizierung. Passwort-basierte Anmeldungen sind deaktiviert. Zugangs-Keys werden sicher verwahrt und bei Bedarf sofort gesperrt.
Zugriffskontrolle
Datenbankzugriffe werden durch Supabase Row Level Security (RLS) auf Zeilenebene kontrolliert. Kunden können ausschließlich auf eigene Daten zugreifen. API-Authentifizierung erfolgt über SHA-256-gehashte API-Keys.
Weitergabekontrolle
Alle Verbindungen zwischen Client, Website und API sind durch TLS 1.3 verschlüsselt. Verbindungen ohne TLS werden automatisch abgelehnt.
Eingabekontrolle
API-Zugriffe werden geloggt (Job-ID, Zeitstempel, Account-ID). Briefing-Inhalte werden auf 100 Zeichen gekürzt in Log-Ausgaben erfasst. Vollständige Briefingtexte werden nicht dauerhaft protokolliert.
Auftragskontrolle
Verarbeitungen erfolgen ausschließlich gemäß der API-Spezifikation und dieses AVV. Keine Verarbeitung für eigene Zwecke des Auftragnehmers (insbesondere kein KI-Training).
Verfügbarkeitskontrolle
API-Server laufen als Docker-Container mit automatischem Neustart bei Ausfällen. Job-Queue (Redis) ist mit Persistenz konfiguriert. Regelmäßige Datenbankbackups durch Supabase (Frankfurt).
Trennbarkeit
Mandantentrennung wird durch Account-IDs und Supabase RLS auf Datenbankebene sichergestellt. Jeder Kunde kann ausschließlich auf eigene Jobs, Videos und BYOK-Konfigurationen zugreifen.
Verschlüsselung
BYOK API-Keys werden mit AES-256-GCM verschlüsselt gespeichert. Der Encryption Key liegt ausschließlich in der Server-Umgebungsvariable und ist nicht in der Datenbank hinterlegt.
§ 8 Datenschutzverletzungen und Informationspflichten
Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.
Die Meldung enthält mindestens:
- Art der Datenschutzverletzung (soweit möglich)
- Betroffene Kategorien und ungefähre Anzahl betroffener Personen
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Abhilfemaßnahmen
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen. Meldungen des Auftragnehmers an Aufsichtsbehörden im eigenen Namen erfolgen nur nach vorheriger Abstimmung mit dem Auftraggeber, soweit rechtlich möglich.
§ 9 Schlussbestimmungen
9.1 Vorrang der DSGVO
Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag (Nutzungsbedingungen) haben die Regelungen dieses AVV in Bezug auf datenschutzrechtliche Fragen Vorrang.
9.2 Schriftformerfordernis
Änderungen und Ergänzungen dieses AVV bedürfen der Textform (E-Mail an hello@snipkit.eu genügt). Mündliche Nebenabreden sind unwirksam.
9.3 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit des übrigen Vertrags unberührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
9.4 Anwendbares Recht und Gerichtsstand
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist — soweit rechtlich zulässig — Gummersbach.
9.5 Kontakt für datenschutzrechtliche Anfragen
Markus Schütze · Im Siefchen 1 · 51643 Gummersbach
hello@snipkit.eu · +49 152 59646698