Special offer: Experience all premium features free for 14 days!
Die englische Fassung finden Sie weiter unten. / Scroll down for the English version. Stand: Juli 2026 1.1 Diese Auftragsverarbeitungsvereinbarung („AVV") regelt die Verarbeitung personenbezogener Daten durch SatisPro e.U., Inhaber: Aidar Sharipov, FN 681243 d, Firmenbuchgericht Handelsgericht Wien, Leopold-Böhm-Straße 5, 1030 Wien, Österreich („Auftragsverarbeiter") im Auftrag des Kunden („Verantwortlicher") im Zusammenhang mit der Nutzung der Softwareplattform SatisPro. 1.2 Diese AVV ist integraler Bestandteil des Nutzungsvertrags gemäß den Allgemeinen Geschäftsbedingungen von SatisPro („Hauptvertrag") und gilt mit dessen Abschluss als abgeschlossen. Sie gilt für die Dauer des Hauptvertrags. 1.3 Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag geht in Fragen des Datenschutzes diese AVV vor. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen, insbesondere:
  • Abruf, Aggregation und Darstellung von Bewertungen aus den vom Verantwortlichen verbundenen Konten (insbesondere Google Business Profile),
  • Erstellung von Antwortentwürfen auf Bewertungen mittels KI-Unterstützung (Google Gemini),
  • Veröffentlichung freigegebener Antworten im Namen des Verantwortlichen,
  • Analyse und Auswertung von Bewertungen (Statistiken, Berichte, Benachrichtigungen).
Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters — insbesondere zum Training von KI-Modellen — erfolgt nicht.
  • Name bzw. Benutzername von Rezensenten auf Bewertungsplattformen,
  • Inhalte von Bewertungen, Kommentaren und Antworten,
  • ggf. Profilbilder von Bewertungsplattformen,
  • Metadaten zu Bewertungen (Datum, Sternebewertung, Plattform, Standort),
  • Kontakt- und Kontodaten der Nutzer des Verantwortlichen (Name, geschäftliche E-Mail-Adresse).
  • Kunden und Gäste des Verantwortlichen, die Bewertungen abgeben,
  • Nutzer von Bewertungsplattformen,
  • Mitarbeiter und Beauftragte des Verantwortlichen, die die Plattform nutzen.
5.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht verbietet. 5.2 Die Konfiguration der Plattform durch den Verantwortlichen (z. B. Aktivierung der automatisierten Veröffentlichung, Freigabe einzelner Antworten, Verbindung und Trennung von Konten) gilt als Weisung. 5.3 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragsverarbeiter trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen, insbesondere:
  • Verschlüsselung der Datenübertragung (TLS) und der Datenspeicherung (Encryption at Rest),
  • Datenhaltung in der EU (Rechenzentrum Frankfurt am Main, Deutschland),
  • rollenbasierte Zugriffskontrollen und Berechtigungskonzepte,
  • Zwei-Faktor-Authentifizierung für administrative Zugänge,
  • Autorisierung gegenüber Drittplattformen ausschließlich über offizielle Schnittstellen (OAuth), keine Speicherung von Passwörtern des Verantwortlichen zu Drittplattformen,
  • Protokollierung sicherheitsrelevanter Ereignisse,
  • regelmäßige Sicherheitsupdates, Backups und Systemüberwachung.
Die Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst; das Schutzniveau darf dabei nicht unterschritten werden. 8.1 Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Derzeit werden eingesetzt:
UnterauftragsverarbeiterZweckOrt der Verarbeitung / Garantie
Supabase Pte. Ltd.Datenbank- und Backend-InfrastrukturEU (Frankfurt am Main); SCC
Netlify, Inc.Hosting der Webanwendung (Frontend), CDN, DNS-Hosting, SSL/TLS-Zertifikate, Deployment-InfrastrukturEU/USA; SCC / EU-U.S. DPF
Stripe Payments Europe, Ltd.ZahlungsabwicklungEU/USA; SCC / EU-U.S. DPF
Google Ireland Ltd. / Google LLCGoogle Business Profile API; KI-gestützte Antworterstellung (Gemini API)EU/USA; SCC / EU-U.S. DPF
8.2 Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern) mindestens vierzehn (14) Tage im Voraus in Textform. Der Verantwortliche kann der Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen; im Falle eines Widerspruchs steht beiden Parteien ein Kündigungsrecht zum Ende des laufenden Abrechnungszeitraums zu. 8.3 Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter durch Vertrag auf im Wesentlichen dieselben Datenschutzpflichten, wie sie in dieser AVV festgelegt sind. Übermittlungen personenbezogener Daten in Drittländer erfolgen nur bei Vorliegen geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere auf Grundlage der EU-Standardvertragsklauseln oder eines Angemessenheitsbeschlusses (z. B. EU-U.S. Data Privacy Framework). 10.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht, Anträge betroffener Personen (Art. 12–23 DSGVO) zu beantworten. Anträge betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an den Verantwortlichen weitergeleitet. 10.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation). Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch binnen 48 Stunden nach Bekanntwerden, und stellt die zur Erfüllung der Meldepflichten nach Art. 33 und 34 DSGVO erforderlichen Informationen zur Verfügung. Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten binnen 30 Tagen oder gibt sie auf Wunsch des Verantwortlichen in einem gängigen Format heraus, sofern keine gesetzliche Aufbewahrungspflicht besteht. Bestehende Backups werden im Rahmen der regulären Backup-Zyklen überschrieben. 13.1 Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. 13.2 Der Verantwortliche ist berechtigt, die Einhaltung dieser AVV zu überprüfen — vorrangig durch Einholung von Auskünften und vorhandenen Nachweisen (z. B. Zertifizierungen und Auditberichte der Unterauftragsverarbeiter). Vor-Ort-Kontrollen erfolgen nach angemessener Vorankündigung, zu üblichen Geschäftszeiten und ohne unverhältnismäßige Störung des Betriebs. Die Haftung richtet sich nach Art. 82 DSGVO sowie den Haftungsregelungen des Hauptvertrags. 15.1 Es gilt österreichisches Recht. Gerichtsstand ist der im Hauptvertrag vereinbarte Gerichtsstand. 15.2 Sollten einzelne Bestimmungen dieser AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. 15.3 Diese AVV wird in deutscher und englischer Sprache bereitgestellt. Im Falle von Abweichungen ist die deutsche Fassung maßgeblich.
Trademark
Trademark
Last updated: July 2026 This DPA is provided in German and English. In case of discrepancies, the German version prevails. 1.1 This Data Processing Agreement ("DPA") governs the processing of personal data by SatisPro e.U., owner: Aidar Sharipov, FN 681243 d, commercial register court: Commercial Court (Handelsgericht) Vienna, Leopold-Böhm-Straße 5, 1030 Vienna, Austria ("Processor") on behalf of the customer ("Controller") in connection with the use of the SatisPro software platform. 1.2 This DPA forms an integral part of the usage contract under SatisPro's General Terms and Conditions ("Main Agreement") and is deemed concluded upon its conclusion. It applies for the duration of the Main Agreement. 1.3 In the event of conflicts between this DPA and the Main Agreement, this DPA prevails in matters of data protection. The Processor processes personal data exclusively to provide the contractually agreed services, in particular:
  • retrieval, aggregation, and display of reviews from the accounts connected by the Controller (in particular Google Business Profile),
  • generation of draft replies to reviews with AI assistance (Google Gemini),
  • publication of approved replies on behalf of the Controller,
  • analysis and evaluation of reviews (statistics, reports, notifications).
The Processor does not process data for its own purposes — in particular not for training AI models.
  • name or username of reviewers on review platforms,
  • content of reviews, comments, and replies,
  • profile pictures from review platforms, where applicable,
  • review metadata (date, star rating, platform, location),
  • contact and account data of the Controller's users (name, business email address).
  • customers and guests of the Controller who submit reviews,
  • users of review platforms,
  • employees and agents of the Controller who use the platform.
5.1 The Processor processes personal data only on documented instructions from the Controller, unless required to do so by Union or Member State law; in such a case, the Processor shall inform the Controller of that legal requirement before processing, unless that law prohibits such information. 5.2 The configuration of the platform by the Controller (e.g. activation of automated publishing, approval of individual replies, connection and disconnection of accounts) constitutes an instruction. 5.3 The Processor shall immediately inform the Controller if, in its opinion, an instruction infringes the GDPR or other data protection provisions. The Processor ensures that persons authorized to process the data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality. Taking into account the state of the art, the costs of implementation, and the nature, scope, context, and purposes of processing, the Processor implements appropriate technical and organizational measures, in particular:
  • encryption of data in transit (TLS) and at rest,
  • data storage in the EU (data center Frankfurt am Main, Germany),
  • role-based access controls and authorization concepts,
  • two-factor authentication for administrative access,
  • authorization towards third-party platforms exclusively via official interfaces (OAuth); no storage of the Controller's passwords for third-party platforms,
  • logging of security-relevant events,
  • regular security updates, backups, and system monitoring.
The measures are reviewed regularly and adapted to the state of the art; the level of protection may not be reduced. 8.1 The Controller grants general authorization for the engagement of sub-processors. The following are currently engaged:
Sub-processorPurposeLocation of processing / safeguard
Supabase Pte. Ltd.Database and backend infrastructureEU (Frankfurt am Main); SCC
Netlify, Inc.Hosting of the web application (frontend), CDN, DNS hosting, SSL/TLS certificates, deployment infrastructureEU/USA; SCC / EU-U.S. DPF
Stripe Payments Europe, Ltd.Payment processingEU/USA; SCC / EU-U.S. DPF
Google Ireland Ltd. / Google LLCGoogle Business Profile API; AI-assisted reply generation (Gemini API)EU/USA; SCC / EU-U.S. DPF
8.2 The Processor shall inform the Controller of intended changes (addition or replacement of sub-processors) at least fourteen (14) days in advance in text form. The Controller may object to the change for important data-protection-related reasons; in the event of an objection, both parties have the right to terminate as of the end of the current billing period. 8.3 The Processor imposes on sub-processors, by contract, substantially the same data protection obligations as set out in this DPA. Transfers of personal data to third countries take place only where appropriate safeguards pursuant to Art. 44 et seq. GDPR are in place, in particular on the basis of the EU Standard Contractual Clauses or an adequacy decision (e.g. the EU-U.S. Data Privacy Framework). 10.1 The Processor assists the Controller with appropriate technical and organizational measures in fulfilling its obligation to respond to requests from data subjects (Art. 12–23 GDPR). Data subject requests received directly by the Processor will be forwarded to the Controller without delay. 10.2 Taking into account the nature of the processing and the information available to it, the Processor assists the Controller in complying with the obligations under Art. 32–36 GDPR (data security, breach notification, data protection impact assessment, prior consultation). The Processor shall notify the Controller of personal data breaches without undue delay, and in any event within 48 hours of becoming aware, and shall provide the information required to fulfill the notification obligations under Art. 33 and 34 GDPR. Upon termination of the Main Agreement, the Processor shall delete all personal data processed on behalf of the Controller within 30 days or, at the Controller's request, return it in a common format, unless a statutory retention obligation applies. Existing backups are overwritten within the regular backup cycles. 13.1 The Processor shall make available to the Controller all information necessary to demonstrate compliance with the obligations laid down in Art. 28 GDPR. 13.2 The Controller is entitled to verify compliance with this DPA — primarily by obtaining information and existing evidence (e.g. certifications and audit reports of the sub-processors). On-site audits take place after reasonable advance notice, during normal business hours, and without disproportionate disruption of operations. Liability is governed by Art. 82 GDPR and the liability provisions of the Main Agreement. 15.1 Austrian law applies. The place of jurisdiction is the place of jurisdiction agreed in the Main Agreement. 15.2 Should individual provisions of this DPA be invalid, the validity of the remaining provisions remains unaffected. 15.3 This DPA is provided in German and English. In the event of discrepancies, the German version prevails.

Ready to automate your review responses?

Start Free Trial
© 2026 SatisPro All rights reserved