Video Management & Livestreaming - Made in Germany 🇩🇪  E-Mail: hi@nc3.de  - Tel: +49 341 392 96 10

Auftragsverarbeitung (AVV)

Vereinbarung zur Auftragsverarbeitung

gemäß Art. 28 DSGVO – Anlage zu den Allgemeinen Geschäftsbedingungen der Streaming-Plattform Streambuzzer

Stand: Juni 2026

zwischen dem Kunden der Streambuzzer-Plattform – nachfolgend „Verantwortlicher” – und der

NC3 GmbH
Altenburger Straße 7
04275 Leipzig
Deutschland

– nachfolgend „Auftragsverarbeiter” –

gemeinsam die „Parteien”. Diese Vereinbarung ist Bestandteil des Nutzungsvertrags über die Streambuzzer-Plattform (nachfolgend „Hauptvertrag”) und wird mit dessen Abschluss wirksam. Sie genügt dem Formerfordernis des Art. 28 Abs. 9 DSGVO (elektronisches Format).

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen der Video-Bereitstellung und des Live-Streamings gemäß Hauptvertrag. Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.

(2) Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag und umfassen insbesondere: die Entgegennahme, Zwischenspeicherung, technische Verarbeitung (Transcoding, Formatanpassung) und Auslieferung von Video- und Streaming-Inhalten des Verantwortlichen an dessen Endnutzer sowie die hierfür erforderliche Protokollierung der Auslieferungsvorgänge.

(2) Die Kategorien betroffener Personen und personenbezogener Daten sind in Anlage 1 beschrieben.

(3) Hosting und Speicherung der Daten erfolgen ausschließlich in Rechenzentren in Deutschland. Für die weltweite Auslieferung der Inhalte an Endnutzer kann der Auftragsverarbeiter ein CDN mit Standorten auch außerhalb der EU bzw. des EWR einsetzen (siehe Anlage 3). Soweit dabei personenbezogene Daten – insbesondere Verbindungsdaten der Endnutzer – in Drittländern verarbeitet werden, ist die Übermittlung durch den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (Art. 45 DSGVO) sowie ergänzend durch Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.

(4) Auf Wunsch des Verantwortlichen kann die Auslieferung der Inhalte ausschließlich über Rechenzentren in Deutschland erfolgen (Option „Auslieferung Deutschland”). In diesem Fall findet keine Drittlandverarbeitung statt. Einzelheiten und etwaige Mehrkosten ergeben sich aus dem Hauptvertrag bzw. dem individuellen Angebot.

§ 3 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

(2) Die Nutzung der Plattform-Funktionen und deren Konfiguration durch den Verantwortlichen gelten als Weisungen. Ergänzende Weisungen bedürfen der Textform.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt. Er ist berechtigt, die Ausführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung auszusetzen.

§ 4 Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.

§ 5 Sicherheit der Verarbeitung

(1) Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Die zum Zeitpunkt des Vertragsschlusses implementierten Maßnahmen sind in Anlage 2 beschrieben.

(2) Die Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragsverarbeiter darf alternative Maßnahmen umsetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren.

§ 6 Unterauftragsverhältnisse

(1) Der Verantwortliche erteilt die allgemeine Genehmigung zur Einschaltung weiterer Auftragsverarbeiter (Unterauftragsverarbeiter). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens vier Wochen im Voraus in Textform. Der Verantwortliche kann der Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von zwei Wochen nach Zugang der Information widersprechen. Im Fall des Widerspruchs ist der Auftragsverarbeiter berechtigt, den Hauptvertrag und diese Vereinbarung außerordentlich mit angemessener Frist zu kündigen, sofern der Einsatz des Unterauftragsverarbeiters für die Leistungserbringung erforderlich ist.

(3) Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten auf, wie sie in dieser Vereinbarung festgelegt sind. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

§ 7 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen betroffener Personen (Art. 12 bis 23 DSGVO) nachzukommen. Geht ein Antrag einer betroffenen Person direkt beim Auftragsverarbeiter ein, leitet er diesen unverzüglich an den Verantwortlichen weiter.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(3) Für Unterstützungsleistungen, die nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind und über den üblichen Umfang hinausgehen, kann der Auftragsverarbeiter eine angemessene Vergütung verlangen.

§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die im Auftrag verarbeitete Daten betrifft, unverzüglich nach Bekanntwerden. Die Meldung enthält, soweit möglich, die Angaben gemäß Art. 33 Abs. 3 DSGVO. Der Auftragsverarbeiter ergreift unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen und stimmt sich hierzu mit dem Verantwortlichen ab.

§ 9 Nachweise und Kontrollrechte

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Der Nachweis kann insbesondere durch aktuelle Testate, Zertifizierungen oder Berichte unabhängiger Instanzen sowie durch Zertifizierungen der eingesetzten Rechenzentrumsbetreiber (z. B. ISO 27001) erbracht werden.

(2) Der Verantwortliche ist berechtigt, Überprüfungen – einschließlich Inspektionen – selbst oder durch einen beauftragten, zur Verschwiegenheit verpflichteten Prüfer durchzuführen. Inspektionen vor Ort erfolgen nach rechtzeitiger Anmeldung mit angemessener Frist, während der üblichen Geschäftszeiten, ohne Störung des Betriebsablaufs und höchstens einmal jährlich, sofern kein konkreter Anlass eine häufigere Prüfung erfordert. Der Auftragsverarbeiter kann für die Unterstützung von Inspektionen, die nicht durch Verstöße des Auftragsverarbeiters veranlasst sind, eine angemessene Vergütung verlangen.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der Daten besteht. Trifft der Verantwortliche innerhalb von 30 Tagen nach Beendigung des Hauptvertrags keine Wahl, ist der Auftragsverarbeiter zur Löschung berechtigt (vgl. § 13 Abs. 5 der AGB).

(2) Die Löschung wird dem Verantwortlichen auf Verlangen schriftlich oder in Textform bestätigt. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, dürfen über das Vertragsende hinaus entsprechend den jeweiligen Aufbewahrungsfristen aufbewahrt werden.

§ 11 Haftung

Für die Haftung der Parteien gelten Art. 82 DSGVO sowie ergänzend die Haftungsregelungen des Hauptvertrags.

§ 12 Schlussbestimmungen

(1) Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag gehen hinsichtlich datenschutzrechtlicher Regelungen die Bestimmungen dieser Vereinbarung vor.

(2) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der im Hauptvertrag vereinbarte Gerichtsstand.

(3) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1 – Gegenstand der Verarbeitung

Kategorien betroffener Personen:

  • Endnutzer der Streaming-Angebote des Verantwortlichen (Zuschauer, Teilnehmer, Besucher von Websites mit eingebettetem Streambuzzer-Player)
  • Mitarbeiter und Beauftragte des Verantwortlichen (Plattform-Nutzer)
  • Gegebenenfalls in den Inhalten des Verantwortlichen abgebildete oder genannte Personen (z. B. Mitwirkende einer Übertragung)

Kategorien personenbezogener Daten:

  • Verbindungs- und Nutzungsdaten der Endnutzer: IP-Adressen, Zeitpunkt und Dauer des Abrufs, abgerufene Inhalte, Geräte- und Browserinformationen, Auslieferungs-Logs
  • Account- und Protokolldaten der Plattform-Nutzer des Verantwortlichen: Name, E-Mail-Adresse, Login-Daten, Aktivitätsprotokolle
  • In Video- und Streaming-Inhalten enthaltene personenbezogene Daten (Bild, Ton, ggf. Namen und weitere Angaben), deren Inhalt allein der Verantwortliche bestimmt

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der vereinbarten Verarbeitung, können jedoch in den vom Verantwortlichen bereitgestellten Inhalten enthalten sein; hierfür trägt der Verantwortliche die Verantwortung.

Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

1. Zutrittskontrolle: Die Verarbeitung erfolgt ausschließlich in ISO-27001-zertifizierten Rechenzentren der Unterauftragsverarbeiter (Hetzner, AWS) in Deutschland mit Zutrittskontrollsystemen, Videoüberwachung und Sicherheitspersonal. Der Auftragsverarbeiter selbst betreibt keine eigenen Serverräume mit Kundendaten.

2. Zugangskontrolle: Zugriff auf Systeme nur über personalisierte Accounts mit starken Passwörtern und, wo verfügbar, Zwei-Faktor-Authentifizierung; SSH-Key-basierte Administration; rollenbasierte Vergabe von Berechtigungen nach dem Need-to-know-Prinzip.

3. Zugriffskontrolle: Protokollierung administrativer Zugriffe; Trennung von Produktiv- und Testumgebungen; regelmäßige Überprüfung und zeitnaher Entzug nicht mehr benötigter Berechtigungen.

4. Übertragungskontrolle: Transportverschlüsselung (TLS) für sämtliche Verbindungen zu Website, Plattform und Streaming-Auslieferung; verschlüsselte Administrationszugänge.

5. Eingabekontrolle: Protokollierung von Änderungen an Konfigurationen und Inhalten auf der Plattform (Logging mit Zeitstempel und Account-Zuordnung).

6. Auftragskontrolle: Sorgfältige Auswahl der Unterauftragsverarbeiter; Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO mit allen Unterauftragsverarbeitern; regelmäßige Überprüfung der Zertifizierungen.

7. Verfügbarkeitskontrolle: Redundante Infrastruktur; regelmäßige Backups; Monitoring und Alarmierung; Schutzmaßnahmen gegen DDoS-Angriffe auf Ebene der Rechenzentrumsbetreiber; dokumentiertes Vorgehen zur Wiederherstellung.

8. Trennungskontrolle: Logische Mandantentrennung der Kundendaten auf der Plattform; getrennte Datenbanken bzw. getrennte Datenbereiche je Kunde.

9. Organisatorische Maßnahmen: Verpflichtung aller Mitarbeiter auf Vertraulichkeit; regelmäßige Sensibilisierung; externer Datenschutzbeauftragter (André Stämmler, Landgraf Datenschutz); dokumentierter Prozess für Datenschutzvorfälle.

Anlage 3 – Unterauftragsverarbeiter

Zum Zeitpunkt des Vertragsschlusses setzt der Auftragsverarbeiter folgende Unterauftragsverarbeiter ein:

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland – Hosting / Server-Infrastruktur, Rechenzentren in Deutschland
  • Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg – Cloud-Infrastruktur und Medienverarbeitung, ausschließlich Region Frankfurt (Deutschland)
  • Amazon CloudFront (AWS EMEA SARL) – CDN zur weltweiten Auslieferung von Video- und Streaming-Inhalten mit Edge-Standorten innerhalb und außerhalb der EU; Drittlandübermittlung abgesichert über das EU-US Data Privacy Framework (Art. 45 DSGVO) und Standardvertragsklauseln im AWS Data Processing Addendum

Bei Beauftragung der Option „Auslieferung Deutschland” wird ausschließlich die Hetzner-Infrastruktur für die Auslieferung genutzt; Amazon CloudFront kommt in diesem Fall nicht zum Einsatz.

Stand: Juni 2026