Datenschutz

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeiter / Anbieterin:
Bringeful Webdesign — Inhaberin Johanna Bringezu
Ritterstraße 2, 99718 Greußen, Thüringen
USt-IdNr.: DE358414171
E-Mail: hallo@guenstige-firmenwebseite.de

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt zwischen dem Kunden als Verantwortlichem im Sinne von Art. 4 Nr. 7 DSGVO (nachfolgend „Verantwortlicher“) und der oben genannten Anbieterin als Auftragsverarbeiterin im Sinne von Art. 4 Nr. 8 DSGVO (nachfolgend „Auftragsverarbeiterin“ oder „Anbieterin“) die Verarbeitung personenbezogener Daten, die die Anbieterin im Rahmen des zwischen den Parteien geschlossenen Hauptvertrags (insbesondere Hosting, Pflege, Betrieb des KI-Chatbots und Bereitstellung von E-Mail-Postfächern nach §§ 4, 5 und 15 der AGB) im Auftrag des Verantwortlichen erbringt.

Der AVV setzt die Anforderungen von Art. 28 Abs. 3 DSGVO um. Er ergänzt den Hauptvertrag und tritt mit dessen Wirksamwerden in Kraft.

§ 1 Begriffsbestimmungen, Rangordnung

(1) Soweit in diesem AVV nicht abweichend definiert, gelten die Begriffsbestimmungen der DSGVO (insbesondere Art. 4) sowie die Definitionen aus § 1 Abs. 5 der AGB der Anbieterin (insbesondere „Textform“ im Sinne von § 126b BGB und „Werktag“).

(2) Verantwortlicher ist der Kunde der Anbieterin. Auftragsverarbeiterin ist die Anbieterin. Betroffene sind die nach Art. 4 Nr. 1 DSGVO identifizierten oder identifizierbaren natürlichen Personen, deren personenbezogene Daten im Rahmen des Hauptvertrags verarbeitet werden, insbesondere Besucher der vom Verantwortlichen gehosteten Webseite, Kommunikationspartner aus Kontaktformularen und Nutzer der E-Mail-Postfächer des Verantwortlichen.

(3) Personal der Anbieterin meint deren Mitarbeitende, freie Mitwirkende und sonstige Erfüllungsgehilfen, die im Auftrag der Anbieterin Zugriff auf personenbezogene Daten des Verantwortlichen erhalten.

(4) Rangordnung. Im Verhältnis zwischen diesem AVV und den AGB der Anbieterin gilt: Dieser AVV hat in datenschutzrechtlichen Fragen Vorrang vor abweichenden Regelungen der AGB. In allen übrigen Fragen gelten die AGB; dies betrifft insbesondere Vergütung, Leistungsumfang, Mängelhaftung, Stornierung, Haftungsbegrenzung und Gerichtsstand. Bestehen Widersprüche zwischen AVV und Hauptvertrag bezüglich der Verarbeitung personenbezogener Daten, geht der AVV vor.

(5) Verweise auf „DSGVO“ meinen die Verordnung (EU) 2016/679. Verweise auf „BDSG“ meinen das Bundesdatenschutzgesetz in seiner jeweils geltenden Fassung.

§ 2 Gegenstand, Art und Zweck der Verarbeitung

(1) Gegenstand der Verarbeitung sind die personenbezogenen Daten, die im Rahmen der von der Anbieterin nach §§ 4, 5 und 15 der AGB erbrachten Leistungen anfallen, insbesondere

  • a) Daten, die beim Aufruf der vom Verantwortlichen betriebenen Webseite in Server-Log-Dateien erfasst werden,
  • b) Daten aus Kontaktformularen und sonstigen Eingabefeldern der Webseite, soweit deren technische Verarbeitung auf der von der Anbieterin betriebenen Infrastruktur erfolgt,
  • c) Daten, die im Rahmen des Betriebs des KI-Chatbots verarbeitet werden (Bot-Nutzereingaben, Bot-Antworten, technische Metadaten der Konversation),
  • d) Inhalte und Verkehrsdaten der vom Verantwortlichen genutzten E-Mail-Postfächer auf der Domain des Verantwortlichen,
  • e) Daten in automatisierten Backups der Webseite, der Datenbank und der E-Mail-Postfächer.

(2) Art der Verarbeitung sind alle Vorgänge nach Art. 4 Nr. 2 DSGVO, die zur Erbringung der vertraglich geschuldeten Leistungen erforderlich sind, insbesondere Erheben, Erfassen, Speichern, Auslesen, Übermitteln innerhalb der eingesetzten technischen Infrastruktur, Abgleichen, Einschränken, Sichern, Wiederherstellen und Löschen.

(3) Zweck der Verarbeitung ist ausschließlich die Erbringung der im Hauptvertrag geschuldeten Leistungen, namentlich:

  • a) Bereitstellung, Auslieferung und technischer Betrieb der gehosteten Webseite (§ 4 Abs. 1 lit. a AGB),
  • b) Anfertigung und Vorhaltung automatisierter Backups (§ 4 Abs. 1 lit. b AGB),
  • c) Pflege und sicherheitsrelevante Updates der eingesetzten Standardkomponenten (§ 4 Abs. 1 lit. c und d AGB),
  • d) Betrieb des KI-Chatbots zur Beantwortung von Nutzeranfragen (§ 4 Abs. 1 lit. e in Verbindung mit § 15 AGB),
  • e) Betrieb der E-Mail-Postfächer auf der Domain des Verantwortlichen (§ 4 Abs. 1 lit. g sowie Abs. 3 AGB),
  • f) anlassbezogene Pflege- und Änderungsleistungen nach § 5 AGB.

(4) Eine Verarbeitung der personenbezogenen Daten zu eigenen Zwecken der Anbieterin findet nicht statt. Insbesondere werden die Daten nicht zum Training, zur Verbesserung oder zur Weiterentwicklung eigener oder fremder KI-Modelle verwendet.

§ 3 Art der Daten, Kategorien Betroffener

(1) Art der personenbezogenen Daten, die nach diesem AVV verarbeitet werden, sind insbesondere:

  • a) Stamm- und Kontaktdaten: Vor- und Nachname, Anschrift, E-Mail-Adresse, Telefonnummer, Firmenbezeichnung, Funktion — soweit über Kontaktformulare oder E-Mail an den Verantwortlichen übermittelt;
  • b) Inhaltsdaten: Texte aus Kontaktformularen, E-Mail-Inhalte, Bot-Nutzereingaben und Bot-Antworten, Anhänge;
  • c) Technische Daten (Server-Log): IP-Adresse, Zeitstempel, abgerufene URL, Referrer, User-Agent, Betriebssystem, Statuscode, übertragene Datenmenge — Standard-Speicherdauer maximal 7 Tage (vgl. § 7 Abs. 6);
  • d) Verkehrsdaten der E-Mail-Postfächer: Absender, Empfänger, Betreff, Zeitstempel, Header-Informationen, SMTP-Statusinformationen;
  • e) Backup-Bestände der vorgenannten Daten in dem in § 4 Abs. 1 lit. b AGB vorgesehenen Umfang.

(2) Eigene Verantwortlichkeit der Anbieterin (kein AVV-Gegenstand). Sicherheits-Logdaten aus dem Schutz der Infrastruktur (Abwehr von Brute-Force-Versuchen, Rate-Limit-Treffer) verarbeitet die Anbieterin in eigener Verantwortung nach Art. 6 Abs. 1 lit. f DSGVO zum Schutz ihrer Infrastruktur; diese Verarbeitung ist nicht Gegenstand dieses AVV (vgl. § 11 Abs. 5).

(3) Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO sind nicht Gegenstand des AVV. Soweit der Verantwortliche solche Daten über die von der Anbieterin betriebene Infrastruktur verarbeitet (etwa durch ein vom Verantwortlichen selbst eingebundenes Formular oder durch Übermittlung in einem Bot-Dialog), liegt dies in seiner alleinigen Verantwortung. Der Verantwortliche informiert die Anbieterin in Textform, wenn er die Verarbeitung besonderer Kategorien personenbezogener Daten erwägt; die Parteien verständigen sich in diesem Fall über zusätzliche Schutzmaßnahmen, deren Aufwand nach § 5 AGB zu vergüten ist.

(4) Kategorien Betroffener sind:

  • a) Besucher und Nutzer der vom Verantwortlichen betriebenen Webseite,
  • b) Personen, die mit dem Verantwortlichen über Kontaktformulare oder den KI-Chatbot der Webseite kommunizieren,
  • c) Kommunikationspartner des Verantwortlichen, deren Daten über die von der Anbieterin betriebenen E-Mail-Postfächer fließen (Versender und Empfänger eingehender bzw. ausgehender Nachrichten),
  • d) Mitarbeitende, freie Mitwirkende oder sonstige Personen des Verantwortlichen, deren Daten in den E-Mail-Postfächern, in Backups oder in technischen Konfigurationen verarbeitet werden.

§ 4 Dauer der Verarbeitung

(1) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (insbesondere des Hosting-Abos nach § 4 AGB). Sie beginnt mit Wirksamwerden des Hauptvertrags und endet mit dessen Beendigung; eine darüber hinausgehende Verarbeitung ist nur in dem in § 13 dieses AVV geregelten Umfang (Löschung, Backup-Rotation, gesetzliche Aufbewahrungspflichten) zulässig.

(2) Einzelne Verarbeitungen (etwa Pflegeaufträge nach § 5 AGB außerhalb eines bestehenden Hosting-Abos) dauern bis zum vollständigen Abschluss der jeweiligen Leistung.

§ 5 Weisungsrecht des Verantwortlichen

(1) Die Anbieterin verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern sie nicht durch das Recht der Europäischen Union oder das Recht eines Mitgliedstaats, dem sie unterliegt, hierzu verpflichtet ist (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). In einem solchen Fall teilt die Anbieterin dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung in Textform mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Form der Weisungen. Weisungen erfolgen grundsätzlich in Textform (§ 126b BGB) durch den Verantwortlichen oder dessen weisungsbefugten Vertreter an die im Hauptvertrag oder zuletzt in Textform mitgeteilte Kontaktadresse der Anbieterin. Mündliche oder fernmündliche Weisungen werden nur im Eilfall entgegengenommen und sind durch den Verantwortlichen unverzüglich in Textform zu bestätigen. Werden mündliche Eilweisungen nicht innerhalb von fünf Werktagen in Textform bestätigt, gelten sie als nicht erteilt.

(3) Der Vertrag samt seinen Anlagen sowie alle im Bestellprozess getroffenen Konfigurationsentscheidungen des Verantwortlichen gelten als ständige Weisung. Spätere Änderungen werden in Textform vereinbart und dokumentiert.

(4) Dokumentation. Die Anbieterin dokumentiert erteilte Weisungen und deren Umsetzung in einer Weise, die im Streitfall den Nachweis ermöglicht. Die Aufbewahrungsdauer der Weisungsdokumentation richtet sich nach den jeweiligen Aufbewahrungsfristen für vertragsrelevante Unterlagen, mindestens jedoch nach der Laufzeit des Hauptvertrags zuzüglich drei Jahren.

(5) Weisungsverweigerung. Ist die Anbieterin der Auffassung, dass eine Weisung des Verantwortlichen gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, so informiert sie den Verantwortlichen unverzüglich in Textform (Art. 28 Abs. 3 Satz 3 DSGVO). Die Anbieterin ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis der Verantwortliche sie bestätigt oder ändert. Hat die Anbieterin die Aussetzung nicht zu vertreten, bleiben ihre Vergütungsansprüche aus dem Hauptvertrag unberührt.

(6) Weisungen, die zu Mehraufwand außerhalb des im Hauptvertrag geschuldeten Leistungsumfangs führen, werden nach § 16 dieses AVV vergütet.

§ 6 Vertraulichkeit des Personals

(1) Die Anbieterin verpflichtet das mit der Verarbeitung personenbezogener Daten des Verantwortlichen befasste Personal vor Aufnahme der Tätigkeit zur Vertraulichkeit (Art. 28 Abs. 3 Satz 2 lit. b DSGVO). Die Verpflichtung wirkt über das Ende des Beschäftigungsverhältnisses hinaus.

(2) Soweit das Personal nicht ohnehin einem angemessenen gesetzlichen Verschwiegenheitsgebot unterliegt, wird die Verpflichtung schriftlich oder in Textform abgegeben und dokumentiert. Der Anbieterin obliegt der Nachweis dieser Verpflichtung gegenüber dem Verantwortlichen auf Anforderung in Textform.

(3) Die Anbieterin stellt sicher, dass das Personal nur in dem für die jeweilige Tätigkeit erforderlichen Umfang Zugriff auf personenbezogene Daten erhält (Need-to-know-Prinzip) und schult das Personal regelmäßig zu den Anforderungen des Datenschutzes. Auf Inhalte der E-Mail-Postfächer des Verantwortlichen wird nur auf ausdrückliche Weisung des Verantwortlichen in Textform zugegriffen; ein anlassloser Zugriff durch das Personal ist ausgeschlossen.

§ 7 Technische und organisatorische Maßnahmen (TOM)

(1) Die Anbieterin trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen insbesondere Maßnahmen zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme sowie zur raschen Wiederherstellung der Verfügbarkeit nach einem physischen oder technischen Zwischenfall.

(2) Vertraulichkeit.

  • a) Zutrittskontrolle: Server stehen in Rechenzentren der Hetzner Online GmbH in Falkenstein und Nürnberg (Deutschland). Zutritt zu Rechenzentrumsflächen erfolgt nur für autorisiertes Personal des Rechenzentrumsbetreibers nach mehrstufiger Authentifizierung; die Anbieterin selbst hat keinen physischen Zutritt zu den Serverflächen.
  • b) Zugangskontrolle: Zugang zu Verarbeitungssystemen ausschließlich über SSH mit kryptographischen Schlüsseln (Ed25519/RSA-4096); Passwort-Login ist deaktiviert. Administrative Aktionen erfolgen über separat berechtigte Benutzerkonten.
  • c) Zugriffskontrolle: Rollenbasierte Berechtigungen nach Need-to-know-Prinzip. Schreibender Zugriff auf produktive Daten ist auf das für die jeweilige Leistung notwendige Personal beschränkt.
  • d) Trennungskontrolle: Mandantentrennung auf Datenbank-, Datei- und Postfach-Ebene; Daten verschiedener Verantwortlicher werden logisch und teils physisch getrennt verarbeitet.

(3) Integrität.

  • a) Eingabekontrolle: Sicherheitsrelevante Zugriffe (Logins, Konfigurationsänderungen, Datenexporte) werden serverseitig protokolliert. Auffällige Zugriffsmuster werden über Rate-Limiting und serverseitige Schutzmechanismen erkannt und abgewehrt.
  • b) Weitergabekontrolle: Übertragung personenbezogener Daten zwischen Komponenten und gegenüber externen Empfängern ausschließlich über verschlüsselte Verbindungen (TLS 1.2 oder höher; SMTP/IMAP mit STARTTLS bzw. impliziter TLS).
  • c) Verschlüsselung im Transport: Webseiten-Auslieferung erfolgt ausschließlich über HTTPS mit aktuellen Cipher-Suiten und HSTS. E-Mail-Verbindungen verlangen STARTTLS.
  • d) Verschlüsselung im Ruhezustand: Backup-Datenträger werden vor der Auslagerung in fremde Speicher verschlüsselt.

(4) Verfügbarkeit und Belastbarkeit.

  • a) Backup: Automatisierte tägliche Backups der Webseite, der Datenbank und der E-Mail-Postfächer mit einer Vorhaltedauer nach § 4 Abs. 1 lit. b AGB.
  • b) Wiederherstellbarkeit: Wiederherstellung verlorener Daten aus dem letzten verfügbaren Backup auf Anforderung. Stichprobenhafte Wiederherstellungstests werden regelmäßig durchgeführt.
  • c) Patch-Management: Sicherheitsrelevante Updates für eingesetzte Standardkomponenten (Betriebssystem, Webserver, Mailserver, Datenbank, CMS) werden zeitnah eingespielt.
  • d) Abwehrmaßnahmen: Eingehende Anfragen werden über Rate-Limits, Web-Application-Firewall-Regeln und Bot-Erkennung gefiltert.

(5) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO). Die Anbieterin überprüft die Wirksamkeit der TOM regelmäßig, mindestens jedoch einmal jährlich, und passt sie an die technologische Entwicklung sowie an die jeweils aktuelle Risikolage an. Wesentliche Änderungen, die das Schutzniveau zugunsten des Verantwortlichen nicht unterschreiten, kann die Anbieterin vornehmen, ohne dass es einer gesonderten Zustimmung bedarf; sie kündigt diese Änderungen mindestens 14 Tage vor Wirksamwerden in Textform an oder dokumentiert sie unter Angabe von Datum und Version in der jeweils aktuellen Fassung dieses TOM-Abschnitts.

(6) Speicherdauern. Server-Log-Dateien werden maximal 7 Tage vorgehalten und anschließend automatisch gelöscht, soweit kein konkreter Anlass (laufende Sicherheits- oder Missbrauchs-Analyse, behördliche Anforderung) eine längere Aufbewahrung im Einzelfall rechtfertigt.

(7) Eine Verschlechterung des in diesem Abschnitt zugesicherten Schutzniveaus erfordert die vorherige Zustimmung des Verantwortlichen in Textform und ist nur zulässig, soweit das gesetzlich geforderte Mindestniveau nach Art. 32 DSGVO nicht unterschritten wird.

(8) Eine ausführlichere Fassung der TOM mit zusätzlichen technischen Details kann der Verantwortliche unter hallo@guenstige-firmenwebseite.de in Textform anfordern.

§ 8 Inanspruchnahme von Unterauftragsverarbeitern

(1) Der Verantwortliche erteilt der Anbieterin eine allgemeine schriftliche Genehmigung im Sinne von Art. 28 Abs. 2 Satz 1 DSGVO zur Inanspruchnahme weiterer Auftragsverarbeiter („Unterauftragsverarbeiter“). Mit Annahme dieses AVV genehmigt der Verantwortliche zugleich die zum Zeitpunkt des Vertragsschlusses in der Subverarbeiter-Liste aufgeführten Unterauftragsverarbeiter.

(2) Die Subverarbeiter-Liste ist unter /subverarbeiter öffentlich abrufbar und Bestandteil dieses AVV. Sie enthält Name, Anschrift, Verarbeitungsort und Verarbeitungszweck jedes Unterauftragsverarbeiters sowie etwaige Drittlandsbezug-Schutzmaßnahmen.

(3) Nicht als Unterauftragsverarbeiter im Sinne dieser Vorschrift gelten Telekommunikationsdienstleister, Postdienste und Transportdienstleister, sofern deren Tätigkeit lediglich die Übermittlung von Daten unterstützt und sie keine bestimmungsgemäße Verarbeitung der Inhalte vornehmen. Ebenfalls nicht als Unterauftragsverarbeiter gilt die Zahlungsabwicklung über Stripe Payments Europe Ltd. (vgl. Subverarbeiter-Liste Ziff. 5); diese wird als eigenständig Verantwortliche im Sinne der DSGVO tätig — insoweit liegt keine Auftragsverarbeitung im Sinne dieses AVV vor (siehe auch § 9 Abs. 1).

(4) Vorab-Information bei Wechseln oder Neuaufnahmen. Die Anbieterin informiert den Verantwortlichen mindestens 30 Tage vor Aufnahme oder Wechsel eines Unterauftragsverarbeiters in Textform (vgl. § 18 Abs. 3a AGB). Die Information bezeichnet den betroffenen Unterauftragsverarbeiter, dessen Anschrift, den Verarbeitungsort sowie den Verarbeitungszweck und nennt etwaige Drittlandsbezug-Schutzmaßnahmen.

(5) Widerspruchsrecht. Der Verantwortliche kann der beabsichtigten Aufnahme oder dem Wechsel innerhalb von 14 Tagen ab Zugang der Information aus wichtigem Grund, insbesondere aus nachvollziehbaren datenschutzrechtlichen Erwägungen, in Textform widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt der neue Unterauftragsverarbeiter als genehmigt.

(6) Folgen eines Widerspruchs. Im Widerspruchsfall versucht die Anbieterin zunächst eine einvernehmliche Lösung, insbesondere durch Vorschlag eines alternativen Unterauftragsverarbeiters oder durch Anpassung von Schutzmaßnahmen. Kommt innerhalb von 30 Tagen ab Zugang des Widerspruchs keine Einigung zustande, sind beide Parteien berechtigt, den betroffenen Leistungsteil zum Ende des Folgemonats außerordentlich zu kündigen. Ein Anspruch auf Schadensersatz besteht beiderseits nicht, soweit der Anlass des Widerspruchs nicht von einer Partei zu vertreten ist.

(7) Vertragliche Bindung der Unterauftragsverarbeiter. Die Anbieterin erlegt jedem Unterauftragsverarbeiter durch Vertrag oder andere rechtsverbindliche Regelung Verpflichtungen auf, die den datenschutzrechtlichen Verpflichtungen aus diesem AVV im Wesentlichen entsprechen (Art. 28 Abs. 4 Satz 1 DSGVO), insbesondere die Verpflichtung zur Vertraulichkeit, die Bindung an Weisungen, die Implementierung angemessener TOM nach Art. 32 DSGVO sowie die Mitwirkung bei Betroffenenrechten, Datenschutzpannen und Aufsichtsmaßnahmen.

(8) Haftung. Erfüllt ein Unterauftragsverarbeiter seine Datenschutzpflichten nicht, haftet die Anbieterin gegenüber dem Verantwortlichen wie für ein eigenes Verschulden (Art. 28 Abs. 4 Satz 2 DSGVO, § 278 BGB).

§ 9 Ort der Verarbeitung, Drittlandtransfer

(1) Die Verarbeitung in Auftragsverarbeitung nach diesem AVV findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EU/EWR) statt. Server- und Backup-Standort für die gehostete Webseite, die Datenbank, den KI-Chatbot und die E-Mail-Postfächer ist Deutschland. Im Übrigen wird auf die unter § 8 Abs. 2 genannte Subverarbeiter-Liste verwiesen.

(2) Die Zahlungsabwicklung durch Stripe Payments Europe Ltd. (§ 8 Abs. 3) erfolgt vorrangig innerhalb der EU; ein eingeschränkter Datenfluss in die USA findet ggf. unter Inanspruchnahme des EU-US Data Privacy Framework statt. Insoweit handelt Stripe als eigenständig Verantwortliche; diese Verarbeitung ist nicht Auftragsverarbeitung im Sinne dieses AVV.

(3) Eine Übermittlung personenbezogener Daten an Drittländer im Sinne von Kapitel V DSGVO oder an internationale Organisationen findet im Rahmen der Auftragsverarbeitung nach diesem AVV nicht statt.

(4) Sollte ausnahmsweise eine Übermittlung in ein Drittland erforderlich werden, ist diese nur zulässig, wenn

  • a) ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO besteht, oder
  • b) geeignete Garantien nach Art. 46 DSGVO vorliegen — insbesondere die jeweils aktuellen Standardvertragsklauseln der Europäischen Kommission — und vor der Übermittlung eine Übermittlungs-Folgenabschätzung (Transfer Impact Assessment, TIA) nach den Vorgaben des Europäischen Datenschutzausschusses durchgeführt worden ist, oder
  • c) eine Ausnahme nach Art. 49 DSGVO einschlägig ist.

Die Anbieterin informiert den Verantwortlichen über jede beabsichtigte Drittlandsübermittlung im Voraus in Textform; die Vorgaben aus § 8 (Unterauftragsverarbeiter) gelten entsprechend.

§ 10 Unterstützung bei Betroffenenrechten

(1) Die Anbieterin unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der in den Art. 12 bis 23 DSGVO geregelten Betroffenenrechte (Art. 28 Abs. 3 Satz 2 lit. e DSGVO), insbesondere bei

  • a) Auskunftsersuchen (Art. 15 DSGVO),
  • b) Berichtigungsbegehren (Art. 16 DSGVO),
  • c) Löschungsbegehren (Art. 17 DSGVO),
  • d) Anträgen auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • e) Anträgen auf Datenübertragbarkeit (Art. 20 DSGVO),
  • f) Widersprüchen (Art. 21 DSGVO).

(2) Wendet sich eine betroffene Person unmittelbar an die Anbieterin, leitet diese den Antrag unverzüglich, spätestens innerhalb von drei Werktagen, in Textform an den Verantwortlichen weiter und antwortet der betroffenen Person nicht inhaltlich, es sei denn, der Verantwortliche hat eine abweichende Anweisung erteilt.

(3) Die Anbieterin erteilt dem Verantwortlichen auf Anforderung in Textform innerhalb angemessener Frist die zur Beantwortung des Betroffenenantrags erforderlichen Auskünfte und Datenauszüge; bei einfachen, automatisiert lesbaren Datenarten innerhalb von fünf Werktagen, in komplexeren Fällen nach Aufwand und Absprache.

(4) Mehraufwand, der über die einfache Bereitstellung von Stammdatenauszügen aus den von der Anbieterin betriebenen Standardsystemen hinausgeht (insbesondere Recherchen in Backups, Sonderauswertungen, Aufbereitung in nicht standardmäßig vorgehaltenen Formaten), wird nach § 16 dieses AVV vergütet.

§ 11 Meldung von Datenschutzverletzungen, Unterstützung bei Art. 33, 34 DSGVO

(1) Die Anbieterin meldet dem Verantwortlichen jede ihr bekannt gewordene Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, die Daten des Verantwortlichen betrifft, unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, in Textform an die im Hauptvertrag bzw. zuletzt in Textform mitgeteilte Kontaktadresse des Verantwortlichen.

(2) Die Meldung enthält, soweit zum Zeitpunkt der Meldung bekannt und verfügbar:

  • a) eine Beschreibung der Art der Verletzung, soweit möglich unter Angabe der Kategorien und ungefähren Zahl der betroffenen Personen sowie der Kategorien und ungefähren Zahl der betroffenen personenbezogenen Datensätze,
  • b) den Namen und die Kontaktdaten einer Stelle bei der Anbieterin, bei der weitere Informationen erlangt werden können,
  • c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung,
  • d) eine Beschreibung der von der Anbieterin ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(3) Sind nicht alle Informationen sofort verfügbar, übermittelt die Anbieterin die noch fehlenden Informationen ohne unangemessene weitere Verzögerung nach Maßgabe ihrer Verfügbarkeit.

(4) Die Anbieterin unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 33 DSGVO (Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden) sowie nach Art. 34 DSGVO (Benachrichtigung der betroffenen Personen), insbesondere durch Bereitstellung der technischen Informationen, die für die Meldungen erforderlich sind. Die Anbieterin ist nicht berechtigt, anstelle des Verantwortlichen Meldungen an die Aufsichtsbehörde oder Benachrichtigungen an Betroffene vorzunehmen, soweit der Verantwortliche dies nicht ausdrücklich in Textform freigegeben hat.

(5) Vorgänge, die die Anbieterin in eigener Verantwortung als Verantwortliche nach Art. 4 Nr. 7 DSGVO (z. B. zum Schutz der eigenen Infrastruktur, vgl. § 3 Abs. 2) verarbeitet und die unabhängig vom Verantwortlichen Datenschutzpannen darstellen, sind nicht Gegenstand der Meldepflicht nach diesem AVV; insoweit gelten die eigenen Pflichten der Anbieterin nach Art. 33 und 34 DSGVO.

§ 12 Unterstützung bei der Datenschutz-Folgenabschätzung

(1) Die Anbieterin unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO sowie einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO, soweit dies in Bezug auf die im Rahmen dieses AVV verarbeiteten Daten erforderlich ist und der Verantwortliche dies in Textform anfordert.

(2) Die Unterstützung umfasst insbesondere die Bereitstellung relevanter Informationen zu den eingesetzten Verarbeitungssystemen, den TOM und den eingesetzten Unterauftragsverarbeitern, soweit diese Informationen nicht ohnehin aus diesem AVV oder dessen Anlagen ersichtlich sind.

(3) Die Anbieterin schuldet keine inhaltliche Erstellung der Datenschutz-Folgenabschätzung; deren Verantwortung und Durchführung liegt beim Verantwortlichen.

§ 13 Rückgabe oder Löschung der Daten nach Vertragsende

(1) Nach Beendigung des Hauptvertrags wird die Anbieterin sämtliche im Rahmen dieses AVV verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen (Art. 28 Abs. 3 Satz 2 lit. g DSGVO).

(2) Der Verantwortliche teilt seine Wahl spätestens innerhalb von 30 Tagen nach Vertragsende in Textform mit. Trifft der Verantwortliche innerhalb dieser Frist keine Wahl, löscht die Anbieterin die Daten nach Ablauf der Frist.

(3) Rückgabe. Soweit der Verantwortliche die Rückgabe wählt, gilt der in § 23 Abs. 1 AGB beschriebene Übergabe-Umfang (Webseiten-Dateien als ZIP-Archiv, Datenbank-Dump als SQL, Komponentenliste, AuthCode bei Domain-Transfer). Die einmalige kostenfreie Übergabe nach § 23 Abs. 1 AGB erfolgt unabhängig von etwaigen offenen Forderungen (vgl. § 10 Abs. 4 AGB). E-Mail-Inhalte werden nach § 23 Abs. 4 AGB einmalig kostenfrei als MBOX/EML-Export bereitgestellt.

(4) Löschung der produktiven Daten. Die Löschung erfolgt innerhalb von 30 Tagen ab Vertragsende bzw. ab Mitteilung der Wahl durch den Verantwortlichen, je nachdem, welches Ereignis später eintritt, nach dem Stand der Technik (insbesondere durch Überschreiben der Speicherbereiche oder durch sichere Vernichtung der Datenträger). Die Anbieterin bestätigt die Löschung auf Anforderung des Verantwortlichen in Textform.

(5) Backup-Rotation. Die Anbieterin hält Webseiten-Backups nach § 23 Abs. 2 AGB sowie E-Mail-Backups nach § 23 Abs. 4 AGB nach Vertragsende jeweils 30 Tage vor. Eine über die normale Backup-Rotation hinausgehende Aufbewahrung darf in jedem Fall 90 Tage ab Vertragsende nicht überschreiten. Backup-Bestände unterliegen während dieser Zeit denselben technischen und organisatorischen Maßnahmen (TOM, § 7) und Vertraulichkeitspflichten (§ 6) wie die produktiven Daten und werden weder ausgewertet noch zu anderen Zwecken genutzt; eine Wiederherstellung erfolgt nur auf Weisung des Verantwortlichen.

(6) Gesetzliche Aufbewahrungspflichten. Soweit das Recht der Union oder das Recht eines Mitgliedstaats eine längere Aufbewahrung anordnet (insbesondere handels- und steuerrechtliche Aufbewahrungspflichten nach §§ 257 HGB, 147 AO), bleibt die Verpflichtung zur Aufbewahrung der davon erfassten Unterlagen und Daten unberührt. Die Anbieterin schränkt die Verarbeitung dieser Daten auf den Zweck der Aufbewahrung ein („Sperrung“).

§ 14 Nachweis der Einhaltung, Kontrollrechte

(1) Die Anbieterin weist die Einhaltung der in Art. 28 DSGVO und in diesem AVV niedergelegten Pflichten gegenüber dem Verantwortlichen auf Anforderung in Textform nach (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).

(2) Als Nachweis genügen in der Regel:

  • a) eine schriftliche Selbstauskunft der Anbieterin auf Grundlage eines vom Verantwortlichen vorgelegten oder von der Anbieterin bereitgestellten Fragenkatalogs,
  • b) die jeweils aktuelle Fassung der TOM (§ 7),
  • c) die jeweils aktuelle Subverarbeiter-Liste (§ 8 Abs. 2),
  • d) anlassbezogene Berichte über Vorfälle nach § 11.

(3) Inspektionsrecht. Soweit die Selbstauskunft nach Absatz 2 für die Erfüllung der Pflichten des Verantwortlichen nicht ausreicht, ist der Verantwortliche berechtigt, eine Vor-Ort-Inspektion bei der Anbieterin durchzuführen oder durch einen zur Berufsverschwiegenheit verpflichteten Dritten (insbesondere einen Rechtsanwalt, Wirtschaftsprüfer, IT-Sachverständigen) durchführen zu lassen. Der Dritte darf kein Wettbewerber der Anbieterin sein.

(4) Rahmenbedingungen. Die Inspektion ist mindestens 30 Tage im Voraus in Textform anzukündigen, findet während der üblichen Geschäftszeiten der Anbieterin statt und darf den Geschäftsbetrieb der Anbieterin nicht unbillig beeinträchtigen. Die Inspektion ist auf einmal pro Kalenderjahr beschränkt; bei begründetem Anlass (etwa nach einer dokumentierten Datenschutzpanne mit Bezug zur Anbieterin) ist eine zusätzliche anlassbezogene Inspektion zulässig. Vor Beginn ist eine Verschwiegenheitserklärung in branchenüblichem Umfang abzugeben.

(5) Kostentragung. Die Standard-Nachweise nach Absatz 2 (Selbstauskunft, Bereitstellung der TOM- und Subverarbeiter-Informationen) erbringt die Anbieterin unentgeltlich. Die Kosten einer Vor-Ort-Inspektion nach Absatz 3 trägt der Verantwortliche; ein angemessener Begleitaufwand der Anbieterin wird nach § 16 dieses AVV vergütet, soweit er den üblichen Beantwortungs-Aufwand nach Absatz 2 übersteigt und nicht die Inspektion eine vom Anbieter zu vertretende Pflichtverletzung aufdeckt. Im letzteren Fall trägt die Anbieterin die ihr entstehenden Aufwände selbst.

(6) Behördliche Kontrollen. Kontrollen einer Aufsichtsbehörde nach Art. 58 DSGVO werden ohne die Beschränkungen der Absätze 3 bis 5 zugelassen. Die Anbieterin unterstützt den Verantwortlichen bei der Mitwirkung im Rahmen behördlicher Verfahren.

§ 15 Haftung

(1) Die Haftung der Anbieterin gegenüber dem Verantwortlichen aus diesem AVV richtet sich im Innenverhältnis nach § 21 der AGB; es gelten insbesondere die dortige Haftungskaskade (§ 21 Abs. 1 bis 3 AGB) und die dort vereinbarten Haftungsobergrenzen.

(2) Unberührt bleibt die Haftung der Anbieterin nach Art. 82 DSGVO gegenüber betroffenen Personen sowie die gesamtschuldnerische Haftung der an einer Verarbeitung beteiligten Parteien gegenüber betroffenen Personen nach Art. 82 Abs. 4 DSGVO. Vertragliche Haftungsbegrenzungen wirken nicht gegenüber Ansprüchen betroffener Personen.

(3) Im Innenverhältnis zwischen den Parteien gilt: Hat eine Partei einer betroffenen Person Schadensersatz nach Art. 82 DSGVO geleistet und trifft die andere Partei eine Mitverantwortung im Sinne von Art. 82 Abs. 5 DSGVO, kann die leistende Partei von der anderen Partei deren Anteil entsprechend ihrer Verantwortung für den Schaden zurückfordern. Die Verteilung erfolgt nach dem Maß der Mitverantwortung im Einzelfall.

(4) Bußgelder nach Art. 83 DSGVO trägt diejenige Partei, der das bußgeldbewehrte Verhalten zuzurechnen ist.

§ 16 Vergütung

(1) Für die Erfüllung der in diesem AVV geregelten üblichen Mitwirkungspflichten — insbesondere die laufende Einhaltung der TOM, die Beantwortung gelegentlicher Selbstauskünfte, die Bereitstellung der TOM- und Subverarbeiter-Informationen, die Bereitstellung einfacher Datenauszüge aus Standardsystemen sowie die Meldung von Datenschutzpannen — verlangt die Anbieterin keine gesonderte Vergütung; diese Leistungen sind durch die Vergütung des Hauptvertrags abgegolten.

(2) Leistungen, die über das übliche Maß hinausgehen, werden zum Stundensatz nach § 5 AGB vergütet. Hierzu zählen insbesondere:

  • a) Mehraufwand zur Beantwortung von Betroffenenanträgen nach § 10 Abs. 4 dieses AVV,
  • b) Vor-Ort-Inspektionen und deren Vor- und Nachbereitung (§ 14 Abs. 5),
  • c) anlassbezogene Mitwirkung bei einer Datenschutz-Folgenabschätzung, die über die Bereitstellung der Standardinformationen nach § 12 Abs. 2 hinausgeht,
  • d) Mitwirkung bei behördlichen Verfahren und Auskunftsersuchen Dritter, soweit diese den Verantwortlichen betreffen,
  • e) auf Wunsch des Verantwortlichen über § 9 hinaus erbrachte Schutzmaßnahmen (etwa zusätzliche Verschlüsselungs- oder Pseudonymisierungs-Verfahren).

(3) Die Anbieterin teilt dem Verantwortlichen den voraussichtlichen Aufwand vor Aufnahme der Leistung in Textform mit (§ 5 Abs. 3 und 4 AGB gelten entsprechend).

§ 17 Vertragsdauer, Kündigung

(1) Dieser AVV tritt mit der Annahme nach § 19 in Kraft und ist an die Laufzeit des Hauptvertrags gekoppelt. Mit Beendigung des Hauptvertrags endet auch der AVV; die Pflichten nach § 13 (Rückgabe oder Löschung) bestehen über das Vertragsende hinaus fort.

(2) Eine isolierte Kündigung dieses AVV bei fortbestehendem Hauptvertrag ist nicht möglich, da die Auftragsverarbeitung untrennbar mit den Hauptleistungen verbunden ist; das Recht zur außerordentlichen Kündigung nach Absatz 3 bleibt davon unberührt.

(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt für beide Parteien unberührt. Ein wichtiger Grund liegt für den Verantwortlichen insbesondere vor bei

  • a) erheblichen Verstößen der Anbieterin gegen die Vorgaben dieses AVV oder gegen Vorgaben der DSGVO, die nicht innerhalb einer angemessenen Frist von mindestens 14 Tagen nach Abmahnung in Textform abgestellt werden,
  • b) wiederholter Weigerung der Anbieterin, eine berechtigte Weisung nach § 5 umzusetzen, soweit keine Konstellation des § 5 Abs. 5 vorliegt,
  • c) bestandskräftiger Untersagung der Verarbeitung durch die zuständige Aufsichtsbehörde.

Ein wichtiger Grund liegt für die Anbieterin insbesondere vor in den Fällen des § 5 Abs. 5 (Weisungsverweigerung wegen DSGVO-Verstoß) sowie in den nach den AGB anerkannten Fällen außerordentlicher Kündigung (vgl. § 22 Abs. 3 AGB).

(4) Eine Kündigung dieses AVV bedarf der Textform.

§ 18 Schlussbestimmungen

(1) Textform. Sämtliche Erklärungen, Weisungen, Anzeigen, Meldungen und Mitteilungen nach diesem AVV bedürfen der Textform (§ 126b BGB), soweit nicht eine strengere Form ausdrücklich vorgesehen ist. Eine eigenhändige Unterschrift wird auch dort nicht vorausgesetzt, wo gesetzliche Bestimmungen sie nicht zwingend verlangen.

(2) Schriftform-Fallback. Ergänzend zur Online-Annahme nach § 19 kann der AVV jederzeit auf Wunsch einer Partei zusätzlich in Schriftform (§ 126 BGB, eigenhändige Unterschrift) abgeschlossen oder bestätigt werden. Eine Anforderung in Textform an hallo@guenstige-firmenwebseite.de genügt; die Anbieterin übermittelt in diesem Fall innerhalb von 15 Werktagen ein zur Unterzeichnung vorbereitetes Exemplar. In Urlaubs- oder Vertretungszeiten verlängert sich die Frist auf 20 Werktage; die Anbieterin weist auf längere Bearbeitungszeiten rechtzeitig auf https://guenstige-firmenwebseite.de hin.

(3) Anwendbares Recht und Gerichtsstand. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist — soweit gesetzlich zulässig — das Amtsgericht Sondershausen bzw. das für Sondershausen sachlich zuständige Landgericht Mühlhausen (vgl. § 25 Abs. 2 AGB). Die Anbieterin ist berechtigt, den Verantwortlichen auch an dessen allgemeinem Gerichtsstand zu verklagen.

(4) Salvatorische Klausel. Sollte eine Bestimmung dieses AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt diejenige wirksame und durchführbare Regelung, deren Wirkung der ursprünglichen wirtschaftlichen und datenschutzrechtlichen Zielsetzung am nächsten kommt; insbesondere darf das nach Art. 28 DSGVO geforderte Mindestniveau nicht unterschritten werden. Entsprechendes gilt für etwaige Vertragslücken.

(5) Änderungen. Anpassungen dieses AVV, die zur Reaktion auf Änderungen der Rechtslage, der höchstrichterlichen Rechtsprechung, der Aufsichtspraxis oder der eingesetzten technischen Infrastruktur erforderlich sind und das Schutzniveau für den Verantwortlichen nicht unterschreiten, kann die Anbieterin nach Maßgabe von § 25 Abs. 4 AGB vornehmen.

(6) Bestandteile des AVV. Bestandteil dieses AVV ist die jeweils unter /subverarbeiter veröffentlichte Subverarbeiter-Liste. Die technischen und organisatorischen Maßnahmen (TOM) sind in § 7 dieses AVV unmittelbar geregelt.

§ 19 Annahme des AVV, Beweis

(1) Online-Annahme. Der AVV wird im Rahmen des Bestellprozesses auf https://guenstige-firmenwebseite.de abgeschlossen. Der Verantwortliche bestätigt seine Annahme dadurch, dass er im Bestell-Wizard das hierfür vorgesehene Pflicht-Auswahlfeld aktiviert; ohne diese Zustimmung kann der Bestellprozess nicht abgeschlossen werden. Die Annahme bezieht sich auf die zum Zeitpunkt der Bestellung unter https://guenstige-firmenwebseite.de/avv veröffentlichte Fassung des AVV einschließlich der dort verlinkten Subverarbeiter-Liste.

(2) Kryptographischer Annahme-Nachweis. Zur Beweissicherung erzeugt die Anbieterin im Moment der Annahme einen Annahme-Beleg, der den vollständigen Wortlaut des AVV (inklusive Subverarbeiter-Stand), den Zeitstempel, eine Identifikation des Bestellvorgangs sowie die wesentlichen Bestelldaten des Verantwortlichen abbildet. Der Beleg wird mit einem modernen kryptographischen Signaturverfahren signiert; die Signatur ist auch gegen zukünftige Angriffe mit Quantencomputern abgesichert (Verfahren: ML-DSA-65 nach FIPS 204). Den zur Prüfung notwendigen öffentlichen Schlüssel veröffentlicht die Anbieterin unter https://guenstige-firmenwebseite.de/.well-known/contract-pubkey.b64.

(3) Hashkette. Der Annahme-Beleg wird zusätzlich in eine fortlaufende Audit-Hashkette über den Lead-State (Bestellverlauf) einbezogen. Der Verantwortliche kann die Authentizität und Unveränderlichkeit seines Annahme-Belegs jederzeit mit dem öffentlichen Schlüssel nach Absatz 2 verifizieren.

(4) Übermittlung in Textform. Die Anbieterin übermittelt dem Verantwortlichen den Annahme-Beleg und den zum Annahmezeitpunkt geltenden Wortlaut des AVV mit der Auftragsbestätigung in Textform (§ 2 Abs. 3 AGB; § 24 Abs. 1 AGB).

(5) Schriftform-Fallback. Anstelle oder zusätzlich zur Online-Annahme kann der Verantwortliche jederzeit die Schriftform-Variante nach § 18 Abs. 2 dieses AVV anfordern. Die in der Schriftform-Variante unterzeichnete Fassung tritt zur Online-Annahme ergänzend hinzu; beide Belege gelten parallel als Annahme-Nachweise für den jeweiligen Bestellvorgang.

(6) Beweiskraft. Die Parteien vereinbaren, dass der nach den Absätzen 2 bis 4 erzeugte Annahme-Beleg im Streitfall den Zugang und die Annahme des AVV in der dort dokumentierten Fassung belegt. Dem Verantwortlichen bleibt der Nachweis vorbehalten, dass die im Annahme-Beleg dokumentierten Tatsachen unrichtig sind.

Stand: 18. Mai 2026 (Version 1.1)