AdLoop Cloud

Auftragsverarbeitungsvertrag

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Ohne Unterschrift wirksam

Mit der Registrierung und Nutzung von AdLoop Cloud schließt du diesen Auftragsverarbeitungsvertrag elektronisch ab — eine separate Unterschrift ist nicht erforderlich.

Rechtsgrundlage: Art. 28 Abs. 9 DSGVO erlaubt den Abschluss in elektronischem Format; das Formerfordernis wird durch die elektronische Form erfüllt (§ 126b BGB).

Für deine Unterlagen

Speichere eine Kopie für deine Dokumentation — auch für die deiner Kunden.

Auftragsverarbeitungsvertrag

AdLoop Cloud — Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Version 1.0

Abgerufen: 06.07.2026

§ 1 Vertragsparteien

Auftragsverarbeiter

Daniel Klose · Talstraße 62 · 55218 Ingelheim · Deutschland
E-Mail: info@daniel-klose.com · Telefon: 0171/1656423

Verantwortlicher

Der Kunde, der einen AdLoop-Cloud-Workspace registriert und nutzt (nachfolgend „Verantwortlicher"). Nutzt eine Agentur AdLoop Cloud für Konten ihrer Endkunden, bleibt die Agentur gegenüber AdLoop der Verantwortliche bzw. handelt als Auftragsverarbeiter ihrer Endkunden; AdLoop wird insoweit als Unterauftragsverarbeiter tätig.

§ 2 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter stellt die SaaS-Plattform „AdLoop Cloud" bereit — eine Middleware, die die Google-Ads- und Google-Analytics-Konten des Verantwortlichen über das Model Context Protocol (MCP) mit den vom Verantwortlichen gewählten KI-Werkzeugen verbindet. In diesem Rahmen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Die Verarbeitung beginnt mit der Registrierung und endet mit der Löschung des Kontos. Nach Beendigung werden personenbezogene Daten gemäß § 10 gelöscht.

§ 3 Art und Zweck der Verarbeitung

  • Speicherung eines verschlüsselten Google-OAuth-Zugangstokens sowie der vom Verantwortlichen gewählten Konto-Kennungen (Google-Ads-Kundennummer, Analytics-Property, Kontonamen)
  • Durchleitung von Kampagnen- und Analytics-Daten zwischen den Google-APIs und den vom Verantwortlichen verbundenen KI-Werkzeugen — eine Speicherung dieser Inhaltsdaten beim Auftragsverarbeiter findet nicht statt
  • Protokollierung schreibender Änderungen am Werbekonto (Änderungsprotokoll/Audit-Log) zur Nachvollziehbarkeit
  • Erfassung aggregierter Nutzungskennzahlen (Anzahl Werkzeug-Aufrufe pro Tag) zur Kapazitätssteuerung

Zweck ist ausschließlich die Erbringung des AdLoop-Cloud-Dienstes.

§ 4 Arten personenbezogener Daten

Gespeicherte Daten

  • • Bestandsdaten des Nutzers (Name, E-Mail)
  • • Verschlüsselte Google-Zugangstoken
  • • Konto-Kennungen und Kontonamen
  • • Änderungsprotokolle (welche Aktion, wann, Ergebnis)
  • • Nutzungsdaten (Zeitstempel, IP-Adressen, Aufruf-Zähler)

Durchgeleitete Daten (ohne Speicherung)

  • • Kampagnen-, Anzeigen- und Keyword-Daten
  • • Suchbegriffe (können Personenbezug enthalten)
  • • Aggregierte Analytics-Kennzahlen und Segmente

§ 5 Kategorien betroffener Personen

  • Nutzer des Verantwortlichen (Mitarbeitende, die den Workspace bedienen)
  • Website-Besucher und Endkunden des Verantwortlichen, soweit sie in Kampagnen- oder Analytics-Daten erscheinen
  • Personen, deren Angaben in Suchbegriffen enthalten sind

§ 6 Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen — Weisungen erfolgen regelmäßig durch die Bedienung der Plattform und der verbundenen KI-Werkzeuge
  • Vertraulichkeitsverpflichtung aller zur Verarbeitung befugten Personen
  • Umsetzung der Maßnahmen nach Art. 32 DSGVO (§ 8)
  • Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 15–22 DSGVO) und ggf. bei Datenschutz-Folgenabschätzungen
  • Meldung von Verletzungen des Schutzes personenbezogener Daten ohne unangemessene Verzögerung
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Ende der Leistung (§ 10)
  • Bereitstellung aller zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlichen Informationen
  • Unverzügliche Information, falls eine Weisung nach Einschätzung des Auftragsverarbeiters gegen Datenschutzrecht verstößt

§ 7 Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern. Derzeit werden eingesetzt:

Hetzner Online GmbH

Deutschland

Betrieb des MCP-Endpoints (Datendurchleitung, Token-Verschlüsselung). Rechenzentrum Falkenstein.

Laravel Cloud (Laravel LLC, inkl. Cloudflare-Edge)

USA — EU-Verarbeitung (Frankfurt)

Hosting von Dashboard und Datenbank in der EU-Region Frankfurt.

Google Ireland Limited

Irland (EU)

Website-Analyse auf den Marketing-Seiten (nur mit Einwilligung, Consent Mode v2). EU-US Data Privacy Framework zertifiziert.

Hinweis: Der Zugriff auf Google Ads und Google Analytics erfolgt im Google-Konto des Verantwortlichen über dessen eigene Autorisierung — Google ist insoweit kein Unterauftragsverarbeiter von AdLoop, sondern direkter Vertragspartner des Verantwortlichen. Gleiches gilt für die vom Verantwortlichen verbundenen KI-Werkzeuge (z. B. Anthropic, OpenAI, Cursor): deren Einsatz wählt und verantwortet der Verantwortliche.

Über beabsichtigte Änderungen der Unterauftragsverarbeiter wird der Verantwortliche vorab informiert und kann Einspruch erheben.

§ 8 Technische und organisatorische Maßnahmen

Durchleitungsprinzip

Kampagnen- und Analytics-Daten werden ausschließlich durchgeleitet und nicht beim Auftragsverarbeiter gespeichert — die wirksamste Maßnahme ist die Datensparsamkeit der Architektur selbst.

Verschlüsselung

TLS für alle Übertragungen; Google-Zugangstoken werden mit authentifizierter Verschlüsselung (libsodium) auf deutscher Infrastruktur gespeichert; API-Keys werden ausschließlich als Hash abgelegt.

Zugangs- und Zugriffskontrolle

Passwortgeschützte Konten; OAuth 2.1 mit PKCE für KI-Werkzeuge; strikte Mandantentrennung (Multi-Tenant-Architektur, mandantengebundene Abfragen); Widerruf von API-Keys und Google-Zugriff jederzeit durch den Verantwortlichen.

Kontrollierbarkeit und Integrität

Jede schreibende Änderung durchläuft Vorschau und Bestätigung, unterliegt Budget-Obergrenzen und wird protokolliert; Dry-Run-Modus als Standard.

Verfügbarkeit

Automatisierte Datenbank-Backups, Infrastruktur-Monitoring, getestete Deployments (CI).

§ 9 Kontrollrechte

Der Verantwortliche kann die Einhaltung dieser Vereinbarung überprüfen: durch Einholung von Informationen und Nachweisen zu den Maßnahmen nach § 8, durch Inspektionen mit angemessener Vorankündigung sowie durch unabhängige Prüfer. Der Auftragsverarbeiter kooperiert und stellt erforderliche Informationen bereit. Kosten trägt der Verantwortliche, sofern die Prüfung keine erheblichen Verstöße aufdeckt.

§ 10 Beendigung und Löschung

  • Mit Löschung des Kontos werden das gespeicherte Google-Zugangstoken entfernt und die Autorisierung bei Google widerrufen — der Datenzugriff endet sofort
  • Übrige personenbezogene Daten (Bestandsdaten, Protokolle, Nutzungsdaten) werden innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten bestehen
  • Backups rotieren automatisch aus (max. 30 Tage)
  • Auf Anfrage bestätigt der Auftragsverarbeiter die Löschung in Textform

Version: 1.0 · Gültig ab: Juli 2026 · AdLoop Cloud — Daniel Klose, Ingelheim