Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO
Mit der Registrierung und Nutzung von AdLoop Cloud schließt du diesen Auftragsverarbeitungsvertrag elektronisch ab — eine separate Unterschrift ist nicht erforderlich.
Rechtsgrundlage: Art. 28 Abs. 9 DSGVO erlaubt den Abschluss in elektronischem Format; das Formerfordernis wird durch die elektronische Form erfüllt (§ 126b BGB).
Speichere eine Kopie für deine Dokumentation — auch für die deiner Kunden.
AdLoop Cloud — Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO
Version 1.0
Abgerufen: 06.07.2026
Daniel Klose · Talstraße 62 · 55218 Ingelheim · Deutschland
E-Mail: info@daniel-klose.com · Telefon: 0171/1656423
Der Kunde, der einen AdLoop-Cloud-Workspace registriert und nutzt (nachfolgend „Verantwortlicher"). Nutzt eine Agentur AdLoop Cloud für Konten ihrer Endkunden, bleibt die Agentur gegenüber AdLoop der Verantwortliche bzw. handelt als Auftragsverarbeiter ihrer Endkunden; AdLoop wird insoweit als Unterauftragsverarbeiter tätig.
Der Auftragsverarbeiter stellt die SaaS-Plattform „AdLoop Cloud" bereit — eine Middleware, die die Google-Ads- und Google-Analytics-Konten des Verantwortlichen über das Model Context Protocol (MCP) mit den vom Verantwortlichen gewählten KI-Werkzeugen verbindet. In diesem Rahmen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.
Die Verarbeitung beginnt mit der Registrierung und endet mit der Löschung des Kontos. Nach Beendigung werden personenbezogene Daten gemäß § 10 gelöscht.
Zweck ist ausschließlich die Erbringung des AdLoop-Cloud-Dienstes.
Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern. Derzeit werden eingesetzt:
Betrieb des MCP-Endpoints (Datendurchleitung, Token-Verschlüsselung). Rechenzentrum Falkenstein.
Hosting von Dashboard und Datenbank in der EU-Region Frankfurt.
Website-Analyse auf den Marketing-Seiten (nur mit Einwilligung, Consent Mode v2). EU-US Data Privacy Framework zertifiziert.
Hinweis: Der Zugriff auf Google Ads und Google Analytics erfolgt im Google-Konto des Verantwortlichen über dessen eigene Autorisierung — Google ist insoweit kein Unterauftragsverarbeiter von AdLoop, sondern direkter Vertragspartner des Verantwortlichen. Gleiches gilt für die vom Verantwortlichen verbundenen KI-Werkzeuge (z. B. Anthropic, OpenAI, Cursor): deren Einsatz wählt und verantwortet der Verantwortliche.
Über beabsichtigte Änderungen der Unterauftragsverarbeiter wird der Verantwortliche vorab informiert und kann Einspruch erheben.
Kampagnen- und Analytics-Daten werden ausschließlich durchgeleitet und nicht beim Auftragsverarbeiter gespeichert — die wirksamste Maßnahme ist die Datensparsamkeit der Architektur selbst.
TLS für alle Übertragungen; Google-Zugangstoken werden mit authentifizierter Verschlüsselung (libsodium) auf deutscher Infrastruktur gespeichert; API-Keys werden ausschließlich als Hash abgelegt.
Passwortgeschützte Konten; OAuth 2.1 mit PKCE für KI-Werkzeuge; strikte Mandantentrennung (Multi-Tenant-Architektur, mandantengebundene Abfragen); Widerruf von API-Keys und Google-Zugriff jederzeit durch den Verantwortlichen.
Jede schreibende Änderung durchläuft Vorschau und Bestätigung, unterliegt Budget-Obergrenzen und wird protokolliert; Dry-Run-Modus als Standard.
Automatisierte Datenbank-Backups, Infrastruktur-Monitoring, getestete Deployments (CI).
Der Verantwortliche kann die Einhaltung dieser Vereinbarung überprüfen: durch Einholung von Informationen und Nachweisen zu den Maßnahmen nach § 8, durch Inspektionen mit angemessener Vorankündigung sowie durch unabhängige Prüfer. Der Auftragsverarbeiter kooperiert und stellt erforderliche Informationen bereit. Kosten trägt der Verantwortliche, sofern die Prüfung keine erheblichen Verstöße aufdeckt.
Version: 1.0 · Gültig ab: Juli 2026 · AdLoop Cloud — Daniel Klose, Ingelheim