Vereinbarung zur Auftragsverarbeitung

nach Art. 28 DSGVO

Verantwortlicher (Auftraggeber)

Der Administrator

Der Verantwortliche ist die natürliche oder juristische Person, die einen Nutzungsvertrag mit NOOVA abgeschlossen hat und als Administrator im Sinne der AGB gilt.

Die Identität ergibt sich aus den bei der Registrierung hinterlegten Daten.

Auftragsverarbeiter

Oliver Richter
handelnd unter der Marke NOOVA

Kemnitzer Straße 14
02747 Berthelsdorf, Deutschland

E-Mail: support@noova.club

USt-IdNr.: DE221581095

1. Parteien und Gegenstand

1.1 Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch NOOVA als Auftragsverarbeiter im Auftrag des Verantwortlichen (Administrator) im Rahmen der Nutzung der NOOVA-Plattform.

1.2 Diese Vereinbarung ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) und der Datenschutzerklärung von NOOVA. Bei Widersprüchen haben die Regelungen dieser Vereinbarung Vorrang, soweit es datenschutzrechtliche Pflichten betrifft.

1.3 Begriffe, die in dieser Vereinbarung verwendet werden, haben die gleiche Bedeutung wie in den AGB und der Datenschutzerklärung, sofern hier nicht abweichend definiert.

2. Dauer und Beendigung

2.1 Die Verarbeitung erfolgt für die Dauer des Nutzungsverhältnisses zwischen Verantwortlichem und NOOVA.

2.2 Nach Beendigung des Nutzungsverhältnisses werden personenbezogene Daten nach Maßgabe dieser Vereinbarung gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2.3 Die Pflichten aus dieser Vereinbarung gelten auch über das Ende des Nutzungsverhältnisses hinaus fort, soweit NOOVA noch personenbezogene Daten des Verantwortlichen speichert.

3. Art und Zweck der Verarbeitung

3.1 NOOVA verarbeitet personenbezogene Daten ausschließlich, um die Funktionen der NOOVA-Plattform bereitzustellen, zu betreiben, abzusichern und weiterzuentwickeln.

3.2 Das umfasst insbesondere:

– Erstellen, Planen, Freigeben und Veröffentlichen von Inhalten über angebundene Social-Media-Plattformen
– Nutzer- und Teamverwaltung innerhalb von Workspaces
– Speicherung und Organisation von Medien, Texten und Entwürfen
– Technische Übermittlung an angebundene Drittplattformen via API
– Protokollierung von Status, Freigaben und Veröffentlichungen
– KI-gestützte Content-Generierung und -Optimierung
– Abruf von Analytics und Insights über angebundene Plattformen
– Support, Monitoring, Wartung und Fehleranalyse

3.3 NOOVA verarbeitet keine personenbezogenen Daten zu eigenen Zwecken, insbesondere nicht zu Werbezwecken oder zur Profilbildung.

4. Betroffene Personen und Daten

4.1 Betroffene Personen können insbesondere sein:

– Nutzer und Teammitglieder des Verantwortlichen
– Mitarbeitende und Beauftragte
– Kunden und Ansprechpartner des Verantwortlichen
– Endkunden und Follower auf Social-Media-Plattformen
– Personen, die in Inhalten (Texten, Bildern, Videos) erscheinen

4.2 Arten personenbezogener Daten können insbesondere sein:

– Namen und Kontaktdaten
– Login-Daten in geschützter Form (gehashte Passwörter, verschlüsselte Tokens)
– Nutzungs- und Aktivitätsdaten (Login-Zeiten, Aktionen in der Plattform)
– Inhaltsdaten wie Texte, Bilder, Videos, Kommentare
– Social-Media-Profilinformationen und Analytics-Daten
– Metadaten wie Zeitpunkte, Plattformzuordnung und Freigabestatus
– Technische Daten wie IP-Adresse, Browser und Geräteinformationen

4.3 Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO werden durch NOOVA nicht gezielt verarbeitet. Sofern Inhalte solche Daten enthalten, liegt die Verantwortung beim Verantwortlichen.

5. Weisungen

5.1 NOOVA verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern NOOVA nicht durch geltendes Recht zu einer Verarbeitung verpflichtet ist.

5.2 Weisungen ergeben sich insbesondere aus der Nutzung der Plattformfunktionen (z. B. Verbindung von Accounts, Planung von Posts, Einladung von Teammitgliedern) sowie aus Supportanfragen in Textform.

5.3 NOOVA informiert den Verantwortlichen unverzüglich, sofern eine Weisung nach eigener Einschätzung gegen Datenschutzrecht verstößt. NOOVA ist berechtigt, die Durchführung bis zur Klärung auszusetzen.

6. Pflichten von NOOVA

6.1 NOOVA verpflichtet sich zur Vertraulichkeit und stellt sicher, dass alle Personen mit Zugang zu personenbezogenen Daten zur Vertraulichkeit verpflichtet sind.

6.2 NOOVA setzt geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um. Die Maßnahmen sind in Anlage A beschrieben.

6.3 NOOVA unterstützt den Verantwortlichen bei:

– Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO)
– Gewährleistung der Datensicherheit (Art. 32 DSGVO)
– Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
– Konsultationen mit Aufsichtsbehörden (Art. 36 DSGVO)

– soweit dies die Verarbeitung durch NOOVA betrifft.

7. Technische und organisatorische Maßnahmen (TOMs)

7.1 NOOVA setzt TOMs ein, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Details in Anlage A.

7.2 NOOVA kann Maßnahmen weiterentwickeln, sofern das Schutzniveau nicht unterschritten wird.

8. Subunternehmer

8.1 Der Verantwortliche erteilt NOOVA eine allgemeine Genehmigung zum Einsatz von Subunternehmern. Die aktuellen Subunternehmer sind in Anlage B aufgeführt.

8.2 Subunternehmer werden nur eingesetzt, wenn sie vertraglich mindestens die gleichen Datenschutzpflichten übernehmen.

8.3 Bei Änderungen informiert NOOVA den Verantwortlichen vorab in Textform. Der Verantwortliche kann innerhalb von 14 Tagen aus wichtigem Grund Einspruch erheben.

8.4 Bei berechtigtem Einspruch ohne einvernehmliche Lösung hat der Verantwortliche das Recht zur außerordentlichen Kündigung.

8.5 NOOVA bleibt für die Einhaltung der Pflichten durch Subunternehmer verantwortlich.

9. Übermittlung in Drittländer

9.1 Daten werden primär im EWR verarbeitet. Hauptverarbeitungsort: Deutschland (Hetzner, Rechenzentren Falkenstein und Nürnberg).

9.2 Drittlandtransfers erfolgen nur auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO), Standardvertragsklauseln (Art. 46(2)(c) DSGVO) oder des EU-US Data Privacy Framework.

9.3 Transfergrundlagen der Subunternehmer sind in Anlage B dokumentiert.

9.4 Bei Publishing werden Inhaltsdaten an Social-Media-Plattformen übermittelt, die außerhalb des EWR verarbeiten können. Verantwortlich für die Rechtsgrundlage ist der Administrator. Empfänger: Anlage C.

10. Unterstützung

10.1 NOOVA unterstützt bei Anfragen betroffener Personen, soweit technisch und organisatorisch möglich.

10.2 NOOVA unterstützt bei Datenschutz-Folgenabschätzungen, soweit die von NOOVA bereitgestellte Verarbeitung betroffen ist.

10.3 Für Unterstützung über das gesetzliche Maß hinaus kann NOOVA eine angemessene Vergütung verlangen.

11. Meldung von Datenschutzvorfällen

11.1 NOOVA informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden, über Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO).

11.2 Die Meldung enthält nach Möglichkeit:

– Art der Verletzung und Umfang
– Betroffene Datenkategorien und ungefähre Anzahl
– Voraussichtliche Folgen
– Ergriffene oder geplante Maßnahmen

11.3 NOOVA unterstützt bei Meldepflichten gegenüber Aufsichtsbehörden (Art. 33) und Betroffenen (Art. 34).

12. Audits und Nachweise

12.1 NOOVA stellt auf Anfrage Informationen zum Nachweis der Einhaltung zur Verfügung.

12.2 Audits sind mit 14 Tagen Vorankündigung möglich, sofern Betrieb und Vertraulichkeit anderer Nutzer nicht gefährdet werden.

12.3 Über eine Prüfung pro Kalenderjahr hinaus kann NOOVA Vergütung nach Aufwand verlangen, es sei denn, ein konkreter Vorfall begründet den Audit.

13. Datenlöschung und Rückgabe

13.1 Nach Vertragsende stellt NOOVA für 30 Tage eine Exportmöglichkeit (CSV, PDF) bereit.

13.2 Nach Ablauf löscht NOOVA sämtliche personenbezogenen Daten, soweit keine Aufbewahrungspflichten bestehen.

13.3 Aufbewahrungspflichten:

– Buchhalterische Daten: 10 Jahre (§ 257 HGB, § 147 AO)
– Rechnungsdaten und Zahlungsnachweise: 10 Jahre
– Server-Logs: maximal 90 Tage

13.4 Backups: maximal 30 Tage Rotation, gegen produktive Nutzung gesichert.

13.5 Löschbestätigung auf Anfrage in Textform.

14. KI-gestützte Verarbeitung

14.1 Bei Nutzung von KI-Funktionen werden Eingabedaten an die in Anlage B genannten KI-Anbieter übermittelt.

14.2 NOOVA setzt ausschließlich KI-Dienste ein, die vertraglich zusichern, Kundendaten nicht zum Modelltraining zu verwenden:

– OpenAI: Business-Tier. API-Eingaben werden nicht zum Modelltraining verwendet.
– Anthropic (Claude): Commercial Mode. Kein Modelltraining. Safety-Retention max. 30 Tage, dann automatische Löschung.

14.3 Übermittelt werden nur Eingabeinhalte und notwendiger Kontext. Keine Zugangsdaten, Analytics oder Accountdaten.

14.4 Der Verantwortliche darf keine Art.-9-Daten in KI-Prompts eingeben und muss KI-Outputs vor Veröffentlichung prüfen.

15. Verbundene Unternehmen

15.1 NOOVA wird betrieben von Oliver Richter, der gleichzeitig Inhaber der Richter Consults (Kemnitzer Straße 14, 02747 Berthelsdorf) ist.

15.2 Richter Consults und NOOVA teilen administrative Infrastruktur (E-Mail, Buchhaltung). Richter Consults erhält keinen Zugriff auf Plattformdaten und nutzt diese nicht für eigene Zwecke.

15.3 Bei Inanspruchnahme des Agency Service gelten gesonderte Vereinbarungen. Richter Consults kann dann als eigenständiger Verantwortlicher oder weiterer Auftragsverarbeiter tätig sein.

16. Haftung

16.1 Es gelten die Haftungsregelungen der AGB. Art. 82 DSGVO bleibt unberührt.

16.2 Der Verantwortliche bleibt verantwortlich für Rechtmäßigkeit, Inhalte, Rechtsgrundlagen und Informationspflichten.

16.3 NOOVA haftet nicht für Schäden aus rechtswidrigen oder unrichtigen Inhalten des Verantwortlichen.

17. Schlussbestimmungen

17.1 Änderungen bedürfen der Textform.

17.2 Salvatorische Klausel: Unwirksame Bestimmungen werden durch zwecknahe Regelungen ersetzt.

17.3 Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.

17.4 Gerichtsstand ist, soweit zulässig, der Sitz von NOOVA.

17.5 Diese Vereinbarung tritt mit Abschluss des Nutzungsvertrags in Kraft.

Data Processing Agreement

pursuant to Art. 28 GDPR

Controller (Client)

The Administrator

The Controller is the natural or legal person who has entered into a service agreement with NOOVA and qualifies as Administrator under the Terms of Service.

The identity of the Controller is determined by the data provided during registration.

Processor

Oliver Richter
trading as NOOVA

Kemnitzer Straße 14
02747 Berthelsdorf, Germany

Email: support@noova.club

VAT ID: DE221581095

1. Parties and Subject Matter

1.1 This agreement governs the processing of personal data by NOOVA as processor on behalf of the Controller (Administrator) in the context of using the NOOVA platform.

1.2 This agreement forms part of the Terms of Service and the Privacy Policy. In case of conflict, this agreement shall prevail with regard to data protection obligations.

1.3 Terms used herein have the same meaning as in the Terms of Service and Privacy Policy unless otherwise defined.

2. Duration and Termination

2.1 Processing shall take place for the duration of the service relationship between the Controller and NOOVA.

2.2 Upon termination, personal data shall be deleted or returned in accordance with this agreement, unless statutory retention obligations apply.

2.3 The obligations under this agreement shall survive termination for as long as NOOVA retains personal data of the Controller.

3. Nature and Purpose of Processing

3.1 NOOVA processes personal data solely to provide, operate, secure and develop the NOOVA platform.

3.2 This includes in particular:

– Creating, scheduling, approving and publishing content via connected social media platforms
– User and team management within workspaces
– Storage and organization of media, texts and drafts
– Technical transmission to connected third-party platforms via API
– Logging of status, approvals and publications
– AI-powered content generation and optimization
– Retrieval of analytics and insights from connected platforms
– Support, monitoring, maintenance and error analysis

3.3 NOOVA does not process personal data for its own purposes, in particular not for advertising or profiling.

4. Data Subjects and Data Categories

4.1 Data subjects may include:

– Users and team members of the Controller
– Employees and agents
– Customers and contacts of the Controller
– End users and followers on social media platforms
– Persons appearing in content (texts, images, videos)

4.2 Categories of personal data may include:

– Names and contact details
– Login data in protected form (hashed passwords, encrypted tokens)
– Usage and activity data (login times, platform actions)
– Content data such as texts, images, videos, comments
– Social media profile information and analytics data
– Metadata such as timestamps, platform assignment and approval status
– Technical data such as IP address, browser and device information

4.3 Special categories of data (Art. 9 GDPR) are not intentionally processed by NOOVA. Where content contains such data, the Controller bears sole responsibility.

5. Instructions

5.1 NOOVA processes personal data solely on documented instructions from the Controller, unless required to do so by applicable EU or Member State law.

5.2 Instructions arise from use of platform functions (e.g. connecting accounts, scheduling posts, inviting team members) and from support requests in text form.

5.3 NOOVA shall inform the Controller without delay if an instruction is considered to violate data protection law. NOOVA may suspend execution until the matter is resolved.

6. Obligations of NOOVA

6.1 NOOVA is committed to confidentiality and ensures that all persons with access to personal data are bound by confidentiality obligations.

6.2 NOOVA implements appropriate technical and organizational measures pursuant to Art. 32 GDPR, as described in Annex A.

6.3 NOOVA assists the Controller with:

– Fulfillment of data subject rights (Art. 15–22 GDPR)
– Ensuring data security (Art. 32 GDPR)
– Data protection impact assessments (Art. 35 GDPR)
– Prior consultations with supervisory authorities (Art. 36 GDPR)

– insofar as processing by NOOVA is concerned.

7. Technical and Organizational Measures (TOMs)

7.1 NOOVA implements TOMs ensuring a level of security appropriate to the risk. Details are documented in Annex A.

7.2 NOOVA may update measures to reflect the state of the art, provided the level of protection is not reduced.

8. Sub-Processors

8.1 The Controller grants NOOVA general authorization to engage sub-processors. Current sub-processors are listed in Annex B.

8.2 Sub-processors are only engaged where they are contractually bound by at least equivalent data protection obligations.

8.3 NOOVA shall inform the Controller in advance of any changes. The Controller may object within 14 days on legitimate data protection grounds.

8.4 If a legitimate objection cannot be resolved, the Controller may terminate the service agreement with immediate effect.

8.5 NOOVA remains liable for compliance by its sub-processors.

9. Third-Country Transfers

9.1 Data is primarily processed within the EEA. Primary processing location: Germany (Hetzner data centers in Falkenstein and Nuremberg).

9.2 Transfers to third countries only take place on the basis of an adequacy decision (Art. 45 GDPR), Standard Contractual Clauses (Art. 46(2)(c) GDPR), or the EU-US Data Privacy Framework.

9.3 Transfer mechanisms for each sub-processor are documented in Annex B.

9.4 Publishing functions may transmit content data to social media platforms operating outside the EEA. The Controller is responsible for the legal basis. Recipients are listed in Annex C.

10. Assistance

10.1 NOOVA assists the Controller with data subject requests insofar as technically and organizationally feasible.

10.2 NOOVA assists with data protection impact assessments where NOOVA's processing is concerned.

10.3 NOOVA may charge reasonable fees for assistance beyond statutory requirements.

11. Data Breach Notification

11.1 NOOVA shall notify the Controller without undue delay, and no later than 48 hours, upon becoming aware of a personal data breach (Art. 33 GDPR).

11.2 The notification shall include, where possible:

– Nature and scope of the breach
– Affected data categories and approximate number of data subjects
– Likely consequences
– Measures taken or proposed for remediation

11.3 NOOVA assists with notification obligations to supervisory authorities (Art. 33) and data subjects (Art. 34).

12. Audits and Evidence

12.1 NOOVA provides appropriate information upon request to demonstrate compliance.

12.2 Audits are permitted with 14 days' advance notice, provided they do not unreasonably disrupt operations or compromise other users' confidentiality.

12.3 For audits beyond one per calendar year, NOOVA may charge reasonable fees, unless triggered by a specific data protection incident.

13. Data Deletion and Return

13.1 Upon termination, NOOVA provides a 30-day data export window (CSV, PDF). Formats are not freely selectable.

13.2 After the export period, NOOVA deletes all personal data unless statutory retention obligations apply.

13.3 Retention obligations:

– Accounting data: 10 years (§ 257 HGB, § 147 AO)
– Invoices and payment records: 10 years
– Server logs: maximum 90 days

13.4 Backups are retained for a maximum 30-day rotation cycle and are secured against productive use.

13.5 Deletion confirmation is available upon request in text form.

14. AI-Powered Processing

14.1 When using AI features, input data is transmitted to the AI providers listed in Annex B.

14.2 NOOVA exclusively uses AI services that contractually guarantee customer data is not used for model training:

– OpenAI: Business-tier usage. API inputs are not used for model training.
– Anthropic (Claude): Commercial mode. No model training. Safety retention maximum 30 days, then automatic deletion.

14.3 Only user inputs and necessary context are transmitted. No credentials, analytics or account data are shared with AI providers.

14.4 The Controller must not enter Art. 9 data into AI prompts and must review AI-generated content for accuracy and legal compliance before publication.

15. Affiliated Entities

15.1 NOOVA is operated by Oliver Richter, who also owns Richter Consults (Kemnitzer Straße 14, 02747 Berthelsdorf).

15.2 Richter Consults and NOOVA share administrative infrastructure (email systems, accounting). Richter Consults has no independent access to platform data and does not use it for its own purposes.

15.3 If the Controller engages the Agency Service, separate agreements apply. Richter Consults may then act as an independent controller or additional processor, as defined in the respective service agreement.

16. Liability

16.1 The liability provisions of the Terms of Service apply. Statutory liability under Art. 82 GDPR remains unaffected.

16.2 The Controller remains responsible for lawfulness of processing, content, legal bases and information obligations toward data subjects.

16.3 NOOVA is not liable for damages resulting from unlawful or inaccurate content processed or published by the Controller.

17. Final Provisions

17.1 Amendments require text form.

17.2 Severability: Invalid provisions shall be replaced by provisions that most closely reflect their intended purpose.

17.3 German law applies, excluding the UN Convention on Contracts for the International Sale of Goods.

17.4 Place of jurisdiction is, to the extent permitted by law, the registered office of NOOVA.

17.5 This agreement takes effect upon conclusion of the service agreement.

Anlage A: Technische und organisatorische Maßnahmen (TOMs)

Diese Maßnahmen gelten als Mindeststandard für den Betrieb der NOOVA-Plattform.

Zugriff und Identität Access and Identity

Rollen- und Rechtekonzept (Prinzip minimaler Rechte)
Zugriff nur für autorisierte Personen
Sichere Sessions mit automatischem TimeoutSecure sessions with automatic timeout
Gehashte Passwortspeicherung (bcrypt)Hashed password storage (bcrypt)
Administrationszugriffe beschränkt und nachvollziehbarAdmin access restricted and auditable

Verschlüsselung Encryption

Transportverschlüsselung via TLS 1.2+Transport encryption via TLS 1.2+
Verschlüsselte API-Tokens und OAuth-Credentials
Begrenzter Zugriff auf SchlüsselRestricted access to encryption keys
Keine vollständigen Zahlungsdaten (PCI-DSS durch Zahlungsdienstleister)

Hosting und Infrastruktur Hosting and Infrastructure

Hetzner Online GmbH, Falkenstein & Nürnberg, Deutschland
Docker-Container-Isolation für Workspace-Trennung
ISO 27001 zertifizierte Rechenzentren (Hetzner)
DDoS-Schutz und FirewallDDoS protection and firewall

Monitoring und Fehleranalyse Monitoring and Error Analysis

Verfügbarkeits- und Performance-ÜberwachungAvailability and performance monitoring
Protokollierung relevanter SystemereignisseLogging of relevant system events
Alarmierung bei kritischen ZuständenAlerting for critical conditions

Backups und Wiederherstellung Backups and Recovery

Regelmäßige DatensicherungenRegular data backups
Wiederherstellungsprozesse definiertRecovery procedures defined
Backup-Löschung nach max. 30 Tagen Rotation

Datentrennung Data Separation

Mandantentrennung durch Workspace-Isolation
Trennung Entwicklung / Produktivbetrieb
Produktivdatenzugriff nur bei dokumentiertem Bedarf

Entwicklung und Updates Development and Updates

Änderungsmanagement und kontrollierte Deployments
Regelmäßige SicherheitsupdatesRegular security updates
Keine Produktivdaten in Test-UmgebungenNo production data in test environments

Incident Response Incident Response

Definierter Prozess für SicherheitsvorfälleDefined process for security incidents
Meldung innerhalb von 48 StundenNotification within 48 hours
Kontakt: support@noova.clubContact: support@noova.club

Support Support

Support über E-Mail und Ticket-SystemSupport via email and ticket system
Datenzugriff nur wenn für Support notwendig
Nachvollziehbarkeit von SupportmaßnahmenTraceability of support actions

Anlage B: Subunternehmerliste Annex B: Sub-Processor List

Dienstleister

Leistung

Verarbeitungsort

Transfer-Grundlage

Hetzner Online GmbH
Gunzenhausen, DE

Hosting, Server, Backups

Deutschland (Falkenstein, Nürnberg)

Kein Drittlandtransfer. AVV abgeschlossen.

Stripe Technology Europe Ltd.
Dublin, IE

Zahlungsabwicklung, Abonnements

EU/EEA, USA

EU-US DPF, ergänzend SCCs

Paddle.com Market Ltd.
London, UK

Merchant of Record, Zahlungen, Steuern

UK, USA

UK-Angemessenheitsbeschluss, SCCs für US

Paystack
Stripe subsidiary, USA

Regionale Zahlungsabwicklung

Nigeria, USA

Standardvertragsklauseln (SCCs)

OpenAI, L.L.C.
San Francisco, USA

KI-Content-Generierung (API, Business-Tier)

USA

EU-US DPF, SCCs. Kein Modelltraining.

Anthropic PBC
San Francisco, USA

KI-Content-Generierung (Claude, Commercial)

USA

SCCs. Kein Modelltraining. Safety max. 30 Tage.

Hinweis: Paddle agiert als Merchant of Record (eigenständiger Verantwortlicher für Zahlungsdaten). NOOVA erhält nur Bestätigungen und letzte 4 Ziffern. Nicht alle Zahlungsanbieter werden gleichzeitig eingesetzt.

Anlage C: Empfänger – Drittsysteme

Bei Nutzung der Plattformfunktionen können Daten an folgende Drittsysteme übermittelt werden. NOOVA ist technisch vermittelnd tätig. Verantwortlich bleibt der Administrator.

C.1 Social-Media-Plattformen C.1 Social Media Platforms

Plattform

Zweck

Daten

Hinweis

Facebook Pages

Publishing, Planung, Analytics

Account-Daten, Inhalte, Insights

Meta Platforms Ireland. Joint Controllership für Insights (Art. 26).

Instagram Business

Publishing, Planung, Analytics

Account-Daten, Inhalte, Insights

Meta Platforms Ireland.

Threads

Publishing, Planung

Account-Daten, Inhalte

Meta Platforms Ireland.

Publishing, Planung, Analytics

Account-Daten, Inhalte, Page-Analytics

LinkedIn Ireland Unlimited Company.

TikTok

Publishing, Planung, Analytics

Account-Daten, Video-Metadaten

TikTok Technology Limited, Ireland.

X (Twitter)

Publishing, Planung

Account-Daten, Inhalte

X Corp., USA.

YouTube

Publishing, Planung, Analytics

Account-Daten, Video-Metadaten

Google Ireland Ltd.

Google Business Profile

Publishing, Analytics

Account-Daten, Inhalte, lokale Insights

Google Ireland Ltd.

Publishing, Planung

Account-Daten, Inhalte

Pinterest Europe Ltd., Ireland.

Mastodon

Publishing, Planung

Account-Daten, Inhalte

Dezentral. Instanzwahl durch Administrator.

Bluesky

Publishing, Planung

Account-Daten, Inhalte

Bluesky PBC, USA. AT Protocol.

C.2 Medien- und Stock-Dienste C.2 Media and Stock Services

Dienst

Zweck

Daten

Hinweis

Unsplash

Stock-Bilder

IP, Suchanfragen

Unsplash Inc., Canada.

Pexels

Stock-Bilder/-Videos

IP, Suchanfragen

Canva Pty Ltd., Australia.

Tenor

GIFs

IP, Suchanfragen

Google LLC, USA.

Adobe Express

Bildbearbeitung

IP, Bilddaten

Adobe Inc., USA.

C.3 Link-Shortener C.3 Link Shorteners

Dienst

Zweck

Daten

Hinweis

Bitly

Link-Verkürzung, Tracking

IP, Gerät, Browser

Bitly Inc., USA.

YOURLS

Link-Verkürzung (self-hosted)

IP, Klickdaten

Self-hosted. Kein Drittlandtransfer.

Shlink

Link-Verkürzung (self-hosted)

IP, Klickdaten

Self-hosted. Kein Drittlandtransfer.

Hinweis: Anbindung erfolgt nur auf aktive Weisung des Administrators. NOOVA übermittelt keine Daten ohne Nutzeraktion. Bei zukünftiger Erweiterung um Analytics wird diese Anlage ergänzt.

Kostenlose Social Media Tools

Auftragsverarbeitung

1. Parteien und Gegenstand

2. Dauer und Beendigung

3. Art und Zweck der Verarbeitung

4. Betroffene Personen und Daten

5. Weisungen

6. Pflichten von NOOVA

7. Technische und organisatorische Maßnahmen (TOMs)

8. Subunternehmer

9. Übermittlung in Drittländer

10. Unterstützung

11. Meldung von Datenschutzvorfällen

12. Audits und Nachweise

13. Datenlöschung und Rückgabe

14. KI-gestützte Verarbeitung

15. Verbundene Unternehmen

16. Haftung

17. Schlussbestimmungen

1. Parties and Subject Matter

2. Duration and Termination

3. Nature and Purpose of Processing

4. Data Subjects and Data Categories

5. Instructions

6. Obligations of NOOVA

7. Technical and Organizational Measures (TOMs)

8. Sub-Processors

9. Third-Country Transfers

10. Assistance

11. Data Breach Notification

12. Audits and Evidence

13. Data Deletion and Return

14. AI-Powered Processing

15. Affiliated Entities

16. Liability

17. Final Provisions

Anlage A: Technische und organisatorische Maßnahmen (TOMs) Annex A: Technical and Organizational Measures (TOMs)

Zugriff und Identität Access and Identity

Verschlüsselung Encryption

Hosting und Infrastruktur Hosting and Infrastructure

Monitoring und Fehleranalyse Monitoring and Error Analysis

Backups und Wiederherstellung Backups and Recovery

Datentrennung Data Separation

Entwicklung und Updates Development and Updates

Incident Response Incident Response

Support Support

Anlage B: Subunternehmerliste Annex B: Sub-Processor List

Anlage C: Empfänger – Drittsysteme Annex C: Recipients – Third-Party Systems

C.1 Social-Media-Plattformen C.1 Social Media Platforms

C.2 Medien- und Stock-Dienste C.2 Media and Stock Services

C.3 Link-Shortener C.3 Link Shorteners

Sofort loslegen

Persönliche Demo

Gratis Playbook

Noch Fragen? Wir sind für dich da.

Buche deine persönliche Demo

Anlage A: Technische und organisatorische Maßnahmen (TOMs)

Anlage C: Empfänger – Drittsysteme