Vereinbarung zur Auftragsverarbeitung (AVV)
gemäß Art. 28 DSGVO – Standard-Muster für Web- & Marketing-Services
Zwischen
dem im Hauptvertrag (Angebot/Auftragsbestätigung) genannten Auftraggeber – nachfolgend „Auftraggeber“ –
und
Webdesign Agentur Wallenhorst, Inhaber: Bennet Arp, Moorbachstraße 3, 49134 Wallenhorst – nachfolgend „Auftragsverarbeiter“ –
(nachfolgend beide Parteien auch bezeichnet als „Partei“ oder „Parteien“)
§ 1 Allgemeine Bestimmungen und Auftragsgegenstand (1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag durch den Auftragsverarbeiter (Art. 28 DSGVO). Die Verarbeitung erfolgt im Rahmen der Erbringung von Webdesign-, Hosting-, Wartungs- und Online-Marketing-Leistungen. (2) Der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er allein ist für die Beurteilung der Zulässigkeit der Datenverarbeitung Vorgänge und die Wahrung der Betroffenenrechte verantwortlich. (3) Die Verarbeitung findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens statt. (4) Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages.
§ 2 Weisungen des Auftraggebers (1) Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Der Hauptvertrag gilt als Grundweisung für die Durchführung des Auftrags. (2) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen gesetzliche Vorschriften verstößt.
§ 3 Allgemeine Pflichten des Auftragsverarbeiters (1) Der Auftragsverarbeiter implementiert die nach Art. 32 DSGVO notwendigen technischen und organisatorischen Maßnahmen (TOM), um ein angemessenes Schutzniveau zu gewährleisten. (2) Er gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. (3) Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen des Zumutbaren bei der Wahrung der Betroffenenrechte nach Art. 12 bis 22 DSGVO sowie bei der Einhaltung der Meldepflichten nach Art. 33 bis 36 DSGVO.
§ 4 Einsatz von Unterauftragsverarbeitern (Subunternehmer) (1) Der Auftraggeber genehmigt die Hinzuziehung der in der Anlage 3 benannten Subunternehmer. (2) Beabsichtigt der Auftragsverarbeiter den Einsatz weiterer Subunternehmer, wird er dies dem Auftraggeber rechtzeitig schriftlich oder elektronisch anzeigen. Der Auftraggeber kann innerhalb von zwei Wochen der Hinzuziehung widersprechen. Erfolgt kein Widerspruch, gilt die Genehmigung als erteilt.
§ 5 Kontrollbefugnisse des Auftraggebers Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften vor Beginn und während der Laufzeit regelmäßig zu kontrollieren oder durch Dritte kontrollieren zu lassen. Der Auftragsverarbeiter wird diese Kontrollen dulden und im erforderlichen Maße unterstützen.
§ 6 Vertragsbeendigung, Löschung und Rückgabe: Nach Abschluss der vertragsgegenständlichen Verarbeitung hat der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung mehr besteht.
Anlage 1: Spezifikation der Verarbeitung
Zweck und Art der Verarbeitung:
Bereitstellung und Hosting von Web-Infrastruktur sowie E-Mail-Diensten.
Technische Wartung, Fehlerbehebung und SEO-Maßnahmen inklusive Zugriff auf Content-Management-Systeme.
Management und Optimierung von Werbekampagnen auf Drittplattformen (z. B. Google, Meta).
Kategorien betroffener Personen:
Kunden, Interessenten, Webseitenbesucher und Mitarbeiter des Auftraggebers.
Datenarten:
Stammdaten (Name, Anschrift), Kontaktdaten (E-Mail, Telefon), IP-Adressen sowie Analyse- und Trackingdaten.
Anlage 2: Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter setzt folgende Maßnahmen zum Schutz der Daten um:
Vertraulichkeit: Zutrittskontrolle zu Geschäftsräumen durch Schließsysteme; Zugangskontrolle durch sichere Passwörter und Firewalls; Zugriffskontrolle durch ein striktes Berechtigungskonzept; Trennbarkeit der Datensätze nach Mandanten.
Integrität: Weitergabekontrolle durch SSL/TLS-Verschlüsselung der Kommunikationswege; Eingabekontrolle durch individuelle Benutzernamen zur Nachvollziehbarkeit.
Verfügbarkeit und Belastbarkeit: Regelmäßige Datensicherungen (Backups) und Notfallpläne zur Wiederherstellung.
Regelmäßige Überprüfung: Evaluierung der Maßnahmen in angemessenen Abständen.
Anlage 3: Genehmigte Subunternehmer
ALL-INKL.COM – Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf. Leistung: Webhosting und Server-Infrastruktur. Ort der Leistung: Deutschland.
Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Ireland. Leistung: Werbeplattformen und Analysetools.
Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland. Leistung: Werbesysteme und Social Media Tools.