Auftragsverarbeitungsvertrag
gemäß Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO)
Zwischen
dem im Hauptvertrag bzw. Angebot bezeichneten Auftraggeber
— nachfolgend „Auftraggeber“ genannt —
und
Bernhard Wecks, Goldstraße 7, 49832 Freren
— nachfolgend „Auftragnehmer“ genannt —
§ 1 Gegenstand der Vereinbarung
(1) Der Auftragnehmer erbringt für den Auftraggeber Leistungen in den Bereichen Webdesign, Hosting-Management (Webspace, Domains, E-Mail-Hosting), Bereitstellung von Kontaktformularen, technische Website-Wartung, Reichweitenanalyse sowie Workflow-Automatisierung (z. B. via n8n). Dabei verarbeitet er personenbezogene Daten im Auftrag des Auftraggebers.
(2) Die Dauer dieser Vereinbarung richtet sich nach der Laufzeit des zwischen den Parteien bestehenden Hauptvertrages.
§ 2 Art und Zweck der Verarbeitung
Umfang, Art und Zweck der Verarbeitung sowie die Kategorien der betroffenen Personen und die Arten der personenbezogenen Daten sind in Anlage 1 zu dieser Vereinbarung festgelegt.
§ 3 Pflichten des Auftragnehmers
(1) Die Verarbeitung erfolgt ausschließlich auf Grundlage der getroffenen Vereinbarungen und nach Weisung des Auftraggebers.
(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.
(3) Der Auftragnehmer setzt die technischen und organisatorischen Maßnahmen (TOM) gemäß Anlage 2 um.
§ 4 Unterauftragsverhältnisse (Subunternehmer und Freelancer)
(1) Der Auftraggeber genehmigt die Hinzuziehung der in Anlage 3 aufgeführten Subunternehmer.
(2) Als Subunternehmer im Sinne dieser Vereinbarung gelten auch externe Freelancer, die vom Auftragnehmer mit fachspezifischen Teilleistungen beauftragt werden.
(3) Der Auftragnehmer informiert den Auftraggeber vorab über die Hinzuziehung neuer Subunternehmer. Der Auftraggeber kann innerhalb von zwei Wochen widersprechen.
§ 5 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber kann die Einhaltung der Sicherheitsmaßnahmen prüfen. Physische Vor-Ort-Kontrollen müssen mit einer Frist von mindestens vier Wochen angemeldet werden und dürfen den Betrieb nicht unverhältnismäßig stören.
(2) Vor-Ort-Kontrollen sind nachrangig zu schriftlichen Auskünften.
(3) Kostenerstattung: Der Auftraggeber erstattet dem Auftragnehmer den durch eine Kontrolle entstehenden Zeitaufwand nach den aktuellen Stundensätzen des Auftragnehmers, sofern keine schwerwiegenden Verstöße gegen den Datenschutz festgestellt werden.
§ 6 Löschung und Rückgabe von Daten
Nach Abschluss der Arbeiten löscht der Auftragnehmer alle Daten oder gibt sie zurück, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
Anlage 1: Details der Datenverarbeitung
Zweck: Betrieb, Wartung und Analyse von Webpräsenzen; Management von E-Mail-Infrastrukturen; Automatisierung von Daten-Workflows sowie Betrieb von Mitgliederbereichen und Shop-Systemen.
Kategorien betroffener Personen: Website-Besucher, Kunden und Interessenten (Leads), Abonnenten (Newsletter), Mitarbeiter des Auftraggebers, Lieferanten, Vereinsmitglieder und Teilnehmer.
Arten personenbezogener Daten: Stamm- und Kontaktdaten, Inhaltsdaten (Formulare), Nutzungsdaten (IP-Adressen, Logfiles), Authentifizierungsdaten (Logins), Marketingdaten, Social-Media-Daten, Supportdaten (Tickets), Vertrags- und Zahlungsdaten.
Anlage 2: Technische und organisatorische Maßnahmen (TOM)
- Zutrittskontrolle: Abgeschlossene Geschäftsräume am Standort Goldstraße 7.
- Zugangskontrolle: Absicherung der Endgeräte durch biometrische Authentifizierung (Face ID) sowie Einsatz eines verschlüsselten Passwort-Management-Systems.
- Zugriffskontrolle: Zugriff durch den Auftragnehmer; externe Freelancer erhalten nur projektbezogene Teil-Berechtigungen.
- Integrität: Erzwungene HTTPS/SSL-Verbindungen für sämtliche Web-Oberflächen und TLS-Verschlüsselung für E-Mails.
- Verfügbarkeit: Nutzung spezialisierter Cloud-Infrastrukturen mit systemseitigen Redundanzen und Backups.
Anlage 3: Genehmigte Subunternehmer
| Unternehmen | Sitz | Leistung |
|---|---|---|
| Mittwald CM Service GmbH & Co. KG | Deutschland | Webhosting, E-Mail, Backups |
| Framer B.V. | Niederlande (EU) | Hosting-Plattform (via AWS EU) |
| Hostinger International Ltd. | EU (Zypern/Litauen) | Server-Hosting für Automatisierung (n8n) |
| Google Ireland Ltd. | Irland (EU) | E-Mail & Kommunikation |
| Externe Freelancer | EU / Deutschland | Fachspezifische Unterstützung |
| Brevo (Sendinblue GmbH) | Deutschland | Newsletter-Infrastruktur (optional) |
Anlage 4: Weisungsberechtigte Personen
Auftraggeber: Als weisungsberechtigt gelten die Geschäftsleitung des Auftraggebers sowie jene Personen, die vom Auftraggeber als Ansprechpartner für die Durchführung des Hauptvertrages benannt wurden.
Auftragnehmer: Bernhard Wecks
Stand: Februar 2026. Diese Vereinbarung wird durch Annahme des Angebots bzw. Abschluss des Hauptvertrages wirksam.