Scripe 4.0 ist da!

|

Update lesen

Vereinbarung zur Auftragsverarbeitung (AVV)

Stand: Juli 2026

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) ist Bestandteil des Scripe Software-as-a-Service-Vertrags, abrufbar unter https://scripe.io/terms (der „Vertrag“), zwischen der Scripe GmbH, Bismarckstraße 68a, 12157 Berlin, Deutschland („Scripe“, der „Auftragsverarbeiter“) und dem Geschäftskunden, der den Scripe-Dienst nutzt (der „Kunde“, der „Verantwortliche“). Sie ist durch Verweis in den Vertrag einbezogen und gilt automatisch für alle Geschäftskunden — eine Unterschrift ist nicht erforderlich. Kunden, die eine gegengezeichnete Ausfertigung benötigen (z. B. für ihr Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO), können diese unter privacy@scripe.io anfordern.

Bei Abweichungen zwischen der englischen und der deutschen Sprachfassung dieser AVV ist die deutsche Fassung maßgeblich. Bei Widersprüchen zwischen dieser AVV und dem Vertrag geht diese AVV hinsichtlich der Verarbeitung personenbezogener Daten vor.

1. Begriffsbestimmungen

Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben die Bedeutung, die ihnen in der Verordnung (EU) 2016/679 („DSGVO“) zugewiesen wird. „Kundendaten“ bezeichnet alle personenbezogenen Daten, die Scripe im Auftrag des Kunden im Rahmen der Erbringung des Dienstes verarbeitet, wie in Anlage 1 näher beschrieben.

2. Rollen und Anwendungsbereich

  1. Für die Verarbeitung von Kundendaten ist der Kunde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und Scripe Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Kundendaten umfassen insbesondere: Inhalte, Entwürfe, Medien, Aufnahmen und Wissensquellen, die der Kunde und seine Nutzer in den Workspace einbringen; die von den Nutzern des Kunden verbundenen LinkedIn-Konten einschließlich der für diese abgerufenen Profil-, Beitrags- und Analysedaten; sowie die Planungs-, Veröffentlichungs- und Engagement-Daten, die zur Bereitstellung der vertraglich vereinbarten Funktionen verarbeitet werden.

  2. Scripe bestimmt weder die Zwecke noch die wesentlichen Mittel der Verarbeitung von Kundendaten: Der Kunde entscheidet, welche Konten verbunden werden, welche Inhalte erstellt, bearbeitet, geplant und veröffentlicht werden, welche Teammitglieder Zugriff haben und welche optionalen Funktionen (z. B. Engagement-Automatisierung, Integrationen) aktiviert werden. Scripe verarbeitet Kundendaten ausschließlich, um den vertraglich vereinbarten Dienst bereitzustellen, abzusichern und zu unterstützen.

  3. Diese AVV gilt nicht für Verarbeitungen, für die Scripe selbst Verantwortlicher ist, insbesondere: Verwaltung von Nutzer- und Kundenkonten, Authentifizierung, Vertragsverwaltung, Abrechnung und Zahlung; Absicherung und Überwachung des Dienstes sowie Missbrauchsprävention; aggregierte Produktanalysen und Fehlerdiagnosen; eigenes Marketing und eigene Kommunikation von Scripe; Erfüllung eigener rechtlicher Verpflichtungen von Scripe; sowie der Betrieb des kundenübergreifenden Index öffentlich verfügbarer LinkedIn-Inhalte durch Scripe (Inspirations-/Benchmark-Funktionen). Solche Verarbeitungen sind in der Datenschutzerklärung von Scripe unter https://scripe.io/privacy beschrieben.

  4. Die Parteien sind für keine Verarbeitung im Rahmen des Vertrags gemeinsam Verantwortliche (Art. 26 DSGVO).

3. Gegenstand, Dauer, Art und Zweck

Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Arten personenbezogener Daten und die Kategorien betroffener Personen sind in Anlage 1 festgelegt.

4. Weisungen

  1. Scripe verarbeitet Kundendaten nur auf dokumentierte Weisung des Kunden, auch in Bezug auf Übermittlungen in Drittländer, sofern Scripe nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt Scripe dem Kunden diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

  2. Der Vertrag, diese AVV sowie die Konfiguration und Nutzung des Dienstes durch den Kunden (einschließlich der von den autorisierten Nutzern des Kunden im Produkt vorgenommenen Einstellungen, z. B. Verbinden von Konten, Planen von Beiträgen, Aktivieren von Engagement-Richtlinien) bilden die vollständigen dokumentierten Weisungen des Kunden. Zusätzliche Weisungen bedürfen einer Vereinbarung in Textform.

  3. Scripe informiert den Kunden unverzüglich, wenn eine Weisung nach Auffassung von Scripe gegen die DSGVO oder andere anwendbare Datenschutzbestimmungen verstößt. Scripe ist berechtigt, die Ausführung einer solchen Weisung auszusetzen, bis sie vom Kunden bestätigt oder geändert wird.

5. Vertraulichkeit

Scripe gewährleistet, dass sich alle zur Verarbeitung von Kundendaten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO) und Kundendaten nur in dem für ihre Aufgaben erforderlichen Umfang verarbeiten.

6. Sicherheit der Verarbeitung

Scripe trifft und unterhält geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für betroffene Personen. Die zum Zeitpunkt dieser Fassung bestehenden Maßnahmen sind in Anlage 2 beschrieben. Scripe darf diese Maßnahmen aktualisieren, sofern das Schutzniveau nicht unter das in Anlage 2 vorgesehene Niveau absinkt.

7. Unterauftragsverarbeiter

  1. Der Kunde erteilt Scripe eine allgemeine schriftliche Genehmigung zur Einschaltung von Unterauftragsverarbeitern für die Verarbeitung von Kundendaten (Art. 28 Abs. 2 DSGVO). Die zum Zeitpunkt dieser Fassung eingeschalteten Unterauftragsverarbeiter sind unter https://scripe.io/subprocessors aufgeführt; diese Liste ist als Anlage 3 Bestandteil dieser AVV.

  2. Scripe kündigt beabsichtigte Hinzuziehungen oder Ersetzungen von Unterauftragsverarbeitern unter https://scripe.io/subprocessors mindestens 30 Tage an, bevor der neue Unterauftragsverarbeiter Kundendaten verarbeitet. Geschäftskunden können Änderungsbenachrichtigungen per E-Mail an privacy@scripe.io abonnieren. Der Kunde kann einer Änderung aus nachvollziehbaren datenschutzrechtlichen Gründen innerhalb von 30 Tagen nach der Ankündigung widersprechen; in diesem Fall bemühen sich die Parteien um eine einvernehmliche Lösung (z. B. Abwahl einer betroffenen optionalen Funktion). Kommt keine Lösung zustande, kann jede Partei die betroffenen Dienste mit Wirkung zum Zeitpunkt des Wirksamwerdens der Änderung kündigen.

  3. Scripe erlegt jedem Unterauftragsverarbeiter im Wege eines Vertrags gemäß Art. 28 Abs. 4 DSGVO Datenschutzpflichten auf, die den in dieser AVV festgelegten Pflichten im Wesentlichen entsprechen, und haftet gegenüber dem Kunden vollumfänglich für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters.

8. Internationale Datenübermittlungen

Scripe verarbeitet Kundendaten vorrangig innerhalb der Europäischen Union. Soweit Kundendaten in ein Land außerhalb der EU/des EWR übermittelt werden, für das kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, gewährleistet Scripe geeignete Garantien gemäß Art. 44 ff. DSGVO, insbesondere die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission) mit dem jeweiligen Unterauftragsverarbeiter und/oder die Berufung auf das EU–U.S. Data Privacy Framework, sofern der Empfänger zertifiziert ist. Einzelheiten je Unterauftragsverarbeiter sind unter https://scripe.io/subprocessors angegeben.

9. Unterstützung des Kunden

  1. Unter Berücksichtigung der Art der Verarbeitung unterstützt Scripe den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III DSGVO zu beantworten (Art. 28 Abs. 3 lit. e DSGVO). Wendet sich eine betroffene Person in Bezug auf Kundendaten unmittelbar an Scripe, leitet Scripe den Antrag unverzüglich an den Kunden weiter. Der Dienst stellt Export- und Löschfunktionen bereit, die der Kunde im Self-Service nutzen kann.

  2. Scripe unterstützt den Kunden bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der Scripe zur Verfügung stehenden Informationen (Art. 28 Abs. 3 lit. f DSGVO).

10. Verletzung des Schutzes personenbezogener Daten

Scripe meldet dem Kunden unverzüglich, nachdem Scripe von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die Kundendaten betrifft (Art. 33 Abs. 2 DSGVO). Die Meldung beschreibt, soweit bekannt, die Art der Verletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen. Scripe dokumentiert Verletzungen und wirkt in angemessenem Umfang mit dem Kunden bei deren Untersuchung und Eindämmung zusammen.

11. Löschung und Rückgabe von Kundendaten

  1. Während der Laufzeit kann der Kunde Kundendaten über den Dienst exportieren oder Unterstützung unter privacy@scripe.io anfordern; bei Beendigung des Vertrags unterstützt Scripe den Kunden in angemessenem Umfang beim Abruf oder bei der Sicherung von Kundendaten (siehe Abschnitt XII des Vertrags).

  2. Nach Abschluss der Erbringung der Leistungen löscht Scripe alle auf seinen Systemen verbleibenden Kundendaten innerhalb von 30 Tagen unwiederbringlich, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine weitere Speicherung erforderlich ist (Art. 28 Abs. 3 lit. g DSGVO). Backups werden im regulären Backup-Zyklus gelöscht oder überschrieben. Ein Zurückbehaltungs- oder Pfandrecht an Kundendaten besteht nicht.

12. Überprüfungen (Audits)

  1. Scripe stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO und in dieser AVV niedergelegten Pflichten erforderlich sind, insbesondere einschlägige Zertifizierungen, Testate und Prüfberichte von Scripe und seinen Infrastruktur-Unterauftragsverarbeitern (Art. 28 Abs. 3 lit. h DSGVO).

  2. Reichen diese Informationen im Einzelfall nicht aus, kann der Kunde (oder ein vom Kunden beauftragter unabhängiger Prüfer, der kein Wettbewerber von Scripe ist) eine Überprüfung — einschließlich einer Inspektion — der betreffenden Verarbeitungsvorgänge durchführen. Überprüfungen erfordern eine angemessene Vorankündigung von mindestens 30 Tagen, finden während der üblichen Geschäftszeiten höchstens einmal pro Kalenderjahr statt (außer nach einer Verletzung des Schutzes personenbezogener Daten oder auf Verlangen einer Aufsichtsbehörde), dürfen den Betrieb von Scripe nicht unverhältnismäßig beeinträchtigen und unterliegen der Vertraulichkeit. Jede Partei trägt ihre eigenen Kosten.

13. Keine Nutzung für Modelltraining; keine kundenübergreifende Nutzung

Scripe verwendet Kundendaten nicht, um Machine-Learning-Modelle zugunsten anderer Kunden oder Dritter zu trainieren. KI-Personalisierung (z. B. Tone-of-Voice-Profile oder das optionale Workspace-spezifische Bildmodell) wird ausschließlich aus den eigenen Daten des jeweiligen Kunden erstellt und nur für dessen Workspace verwendet. Scripe verpflichtet seine KI-Unterauftragsverarbeiter vertraglich, über Scripe übermittelte Kundendaten nicht zum Training ihrer Foundation-Modelle zu verwenden. Zur Klarstellung: Der Inspirations-/Benchmark-Index öffentlich verfügbarer LinkedIn-Inhalte wird von Scripe als Verantwortlichem außerhalb dieser AVV betrieben (siehe Ziffer 2.3 und die Datenschutzerklärung).

14. Laufzeit, Haftung, Schlussbestimmungen

  1. Diese AVV gilt, solange Scripe Kundendaten im Rahmen des Vertrags verarbeitet.

  2. Die Haftung nach dieser AVV richtet sich nach den Haftungsregelungen des Vertrags; Art. 82 DSGVO bleibt unberührt.

  3. Diese AVV unterliegt deutschem Recht. Gerichtsstand ist Berlin, Deutschland.

  4. Scripe darf diese AVV aktualisieren, soweit dies durch Gesetz, aufsichtsbehördliche Vorgaben oder Änderungen des Dienstes erforderlich ist, sofern das Schutzniveau für den Kunden nicht wesentlich verringert wird; wesentliche Aktualisierungen werden auf dieser Seite mit angemessener Vorlaufzeit angekündigt.

Anlage 1 — Einzelheiten der Verarbeitung

Gegenstand: Bereitstellung der Scripe-Plattform — einer Anwendung zum Erstellen, Personalisieren, Planen, Veröffentlichen und Analysieren von LinkedIn-Inhalten für den Workspace des Kunden, einschließlich Zusammenarbeit, Medienbibliothek, Wissensdatenbank, Analysen sowie optionaler Engagement- und Integrationsfunktionen.

Dauer: Laufzeit des Vertrags zuzüglich der Löschfrist gemäß Ziffer 11.

Art und Zweck der Verarbeitung: Hosting und Speicherung; Transkription von Audio/Video; KI-gestützte Erstellung und Bearbeitung von Inhalten auf Grundlage der Eingaben des Kunden; Abruf von Profil-, Beitragshistorie- und Analysedaten verbundener LinkedIn-Konten über die offiziellen LinkedIn-APIs; Planung und Veröffentlichung von Beiträgen auf Mitgliederprofilen und Unternehmensseiten; Ausführung von Engagement-Aktionen (Like/Kommentar/Repost), die von den Nutzern des Kunden konfiguriert und freigegeben wurden; Analysen und Berichte; Benachrichtigungen (E-Mail, Push, Echtzeit, verbundene Messenger); Support.

Kategorien betroffener Personen:

  • Nutzer des Kunden (Teammitglieder, Administratoren, eingeladene „Amplifier“);
  • Personen, deren personenbezogene Daten in vom Kunden bereitgestellten Inhalten, Aufnahmen, Dokumenten oder Wissensquellen enthalten sind;
  • Personen, die mit der LinkedIn-Präsenz des Kunden interagieren, soweit deren Daten für den Kunden abgerufen werden (z. B. Autoren von Beiträgen, in denen die Unternehmensseite des Kunden erwähnt wird, Follower-Statistiken);
  • Personen, die der Kunde zur Bereitstellung von Input einlädt (z. B. über den öffentlichen Antwortlink, WhatsApp- oder E-Mail-Anfragen).

Arten personenbezogener Daten:

  • Identifikations- und Kontaktdaten (Name, E-Mail-Adresse, Profilbild, Workspace-Rolle);
  • LinkedIn-Konto- und Profildaten verbundener Konten (Profilinformationen, Vanity-URL, OAuth-Tokens, Verbindungsstatus);
  • Inhaltsdaten (Beitragsentwürfe und veröffentlichte Beiträge, Kommentare, Medien, Bilder, Dokumente, Wissensquellen, Chat- und Interviewkonversationen);
  • Audio-/Videoaufnahmen und Transkripte (Sprachnotizen, Spracheingaben, hochgeladene Aufnahmen);
  • Analyse- und Engagement-Daten (Impressionen, Reaktionen, Kommentare, Follower-Statistiken, Seitenstatistiken einschließlich der von LinkedIn bereitgestellten aggregierten demografischen Auswertungen);
  • Nutzungs- und technische Daten, die zur Bereitstellung des Dienstes erforderlich sind (Protokolldaten, Gerätedaten, Benachrichtigungs-Tokens);
  • Kommunikationsdaten verbundener, vom Kunden aktivierter Kanäle (z. B. Slack, Notion, WhatsApp-Telefonnummer und -Nachrichten).

Besondere Kategorien von Daten (Art. 9 DSGVO): Eine Verarbeitung ist nicht beabsichtigt; solche Daten können beiläufig in Inhalten enthalten sein, die der Kunde zu verarbeiten wählt (z. B. gesprochene Aufnahmen). Der Kunde ist dafür verantwortlich, eine Rechtsgrundlage für solche Inhalte sicherzustellen.

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Verschlüsselung und Transportsicherheit: Alle Daten werden bei der Übertragung mittels TLS verschlüsselt. Ruhende Daten werden auf Infrastrukturebene durch die Hosting-Anbieter von Scripe verschlüsselt (verwaltete Datenbank, Objektspeicher, Backups).

Zugriffskontrolle: Authentifizierung über einen verwalteten Identitätsanbieter mit Single-Sign-on-Unterstützung; rollenbasierter Zugriff innerhalb von Workspaces (Owner/Admin/Member); Zugriff auf Produktionssysteme beschränkt auf autorisiertes Personal nach dem Need-to-know-Prinzip; API-Zugriff über gehashte Schlüssel mit begrenztem Berechtigungsumfang und Rate-Limiting; Zugriff auf LinkedIn-Konten ausschließlich über OAuth-Tokens, die Nutzer jederzeit widerrufen können — Scripe erhält zu keinem Zeitpunkt LinkedIn-Passwörter.

Infrastruktur: Hosting bei etablierten Cloud-Anbietern (siehe Anlage 3) mit zertifizierten Rechenzentren (z. B. ISO-27001-/SOC-2-Testate der Anbieter); primäre Dateispeicherung in der EU (Region Frankfurt); logische Mandantentrennung auf Workspace-Ebene.

Verfügbarkeit und Belastbarkeit: Redundante verwaltete Infrastruktur, automatisierte Backups, warteschlangenbasierte Verarbeitung mit Wiederholungsmechanismen, Monitoring und Alarmierung, dokumentierte Incident-Response.

Datenminimierung und Speicherbegrenzung: Löschworkflows für Konten und Workspaces (einschließlich Löschung gespeicherter Dateien und bei Drittanbietern gespeicherter Datensätze); automatisierte Bereinigung extern bezogener Inhalte; konfigurierbare Datenexporte.

Personal und Organisation: Vertraulichkeitsverpflichtungen für das gesamte Personal; Administration nach dem Least-Privilege-Prinzip; Datenschutzkontakt (privacy@scripe.io); Anbieterprüfung (Vendor Due Diligence) mit Verträgen nach Art. 28 DSGVO für alle Unterauftragsverarbeiter; Protokollierung und Überprüfung sicherheitsrelevanter Ereignisse.

Anlage 3 — Unterauftragsverarbeiter

Die aktuelle Liste der Unterauftragsverarbeiter, einschließlich der Unternehmen, Länder, Zwecke und Übermittlungsgarantien, wird unter https://scripe.io/subprocessors veröffentlicht und gepflegt und ist Bestandteil dieser AVV.