Vertrag zur Auftragsverarbeitung (AVV)

§ 1 Gegenstand und Dauer des Vertrages

(1) Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten im Auftrag. Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen im Bereich Website-Hosting, Bereitstellung eines Content-Management-Systems (CMS) sowie E-Mail-Weiterleitung (nachfolgend „Hauptvertrag“).

(2) Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages. Er endet automatisch mit der Kündigung oder Beendigung des Hauptvertrages (des Website-Abonnements).

§ 2 Art der Daten und Kreis der Betroffenen

(1) Im Rahmen der Vertragsdurchführung verarbeitet der Auftragsverarbeiter folgende Arten personenbezogener Daten für den Verantwortlichen:

• Bestands- und Kontaktdaten (z. B. Vorname, Nachname, E-Mail-Adresse, Telefonnummer)
• Inhaltsdaten (z. B. Freitext-Eingaben in Kontaktformularen)
• Nutzungs- und Metadaten (z. B. IP-Adressen beim Aufruf der Website)

(2) Der Kreis der von der Datenverarbeitung Betroffenen umfasst ausschließlich: Endkunden, Interessenten und Website-Besucher des Verantwortlichen.

§ 3 Rechte und Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Einhaltung der gesetzlichen Bestimmungen der DSGVO, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter, allein verantwortlich.

(2) Der Verantwortliche hat das Recht, jederzeit angemessene Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen.

§ 4 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den Weisungen des Verantwortlichen.

(2) Meldepflicht: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch 24 Stunden nach Kenntniserlangung, über Verletzungen des Schutzes personenbezogener Daten (Data Breaches).

(3) Nach Abschluss der vertraglichen Arbeiten (Kündigung des Hauptvertrages) hat der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen unverzüglich und unwiderruflich zu löschen.

§ 5 Technische und organisatorische Maßnahmen (TOMs)

(1) Der Auftragsverarbeiter hat die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Datensicherheit umgesetzt.

• Verschlüsselte Datenübertragung (SSL/HTTPS).
• Verschlüsselung der genutzten Cloud-Datenbank (Encryption at rest).
• Absicherung des administrativen Systemzugangs durch strenge Authentifizierungsverfahren (Login via E-Mail-OTP).

§ 6 Unterauftragsverhältnisse (Sub-Dienstleister)

(1) Der Verantwortliche stimmt der Beauftragung der nachfolgenden Unterauftragsverarbeiter zu:

• Cloudflare, Inc. (USA/Global) – Für Website-Hosting, Datenbankbereitstellung (D1/KV), CDN und E-Mail-Routing.
• Mailjet (Sinch) (Frankreich/Global) – Für den Versand von E-Mails aus den Kontaktformularen.

§ 7 Verarbeitung in Drittländern

Der Auftragsverarbeiter stellt sicher, dass Übermittlungen in Drittländer durch geeignete Garantien (z. B. EU-Standardvertragsklauseln oder EU-US Data Privacy Framework) rechtlich abgesichert sind.

§ 8 Kontrollrechte

Der Verantwortliche hat das Recht, sich regelmäßig von der Einhaltung der TOMs zu überzeugen. Dieses Kontrollrecht wird primär durch das Einholen von schriftlichen Auskünften erfüllt.