Auftragsverarbeitungs- vertrag
Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO
Stand: 15. März 2026
Dieser Auftragsverarbeitungsvertrag („AVV“) wird geschlossen zwischen:
Verantwortlicher: Der Kunde gemäß den Nutzungsbedingungen („Kunde“, „Verantwortlicher“)
Auftragsverarbeiter: MEDIENSTÜRMER GbR, Würzstr. 1, 81371 München, Deutschland („Anbieter“, „Auftragsverarbeiter“)
Dieser AVV ergänzt die Nutzungsbedingungen und findet Anwendung, soweit der Anbieter im Rahmen der Bereitstellung des ViewCel-Dienstes personenbezogene Daten im Auftrag des Kunden verarbeitet.
1. Gegenstand und Dauer
1.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung des ViewCel Website-Monitoring-Dienstes.
1.2. Die Laufzeit dieses AVV entspricht der Laufzeit des Dienstleistungsvertrags zwischen den Parteien. Nach Beendigung des Dienstleistungsvertrags gelten die Bestimmungen dieses AVV zur Löschung und Rückgabe von Daten weiterhin.
2. Art und Zweck der Verarbeitung
2.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu folgenden Zwecken:
- Erfassung von Screenshots der vom Verantwortlichen benannten Websites
- Speicherung und Vergleich von Screenshots zur Erkennung visueller Änderungen
- Erstellung KI-gestützter Änderungsanalyseberichte
- Extraktion von SEO-Metriken aus überwachten Seiten
- Versand von E-Mail-Benachrichtigungen über erkannte Änderungen
- Bereitstellung des Zugangs zu Monitoring-Daten über die Weboberfläche
3. Art der personenbezogenen Daten
3.1. Die Verarbeitung kann folgende Arten personenbezogener Daten umfassen, soweit diese auf den überwachten Websites sichtbar sind:
- Namen, Kontaktdaten und Bilder von Personen, die auf überwachten Websites dargestellt werden
- Sonstige personenbezogene Daten, die in Screenshots der vom Verantwortlichen benannten URLs sichtbar sind
- Kundenkontodaten (Name, E-Mail-Adresse, Unternehmensinformationen)
- Nutzungsdaten (Login-Zeiten, Feature-Nutzung, IP-Adressen)
4. Kategorien betroffener Personen
4.1. Zu den betroffenen Personen können gehören:
- Personen, deren personenbezogene Daten auf überwachten Websites angezeigt werden
- Beschäftigte und Vertreter des Verantwortlichen
- Endnutzer der Websites des Verantwortlichen
5. Pflichten des Auftragsverarbeiters
5.1. Der Auftragsverarbeiter wird:
- Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, es sei denn, eine Verarbeitung ist nach EU- oder mitgliedstaatlichem Recht vorgeschrieben
- Sicherstellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben
- Alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergreifen (Sicherheit der Verarbeitung)
- Die Bedingungen für die Einschaltung von Unterauftragsverarbeitern gemäß Abschnitt 7 beachten
- Den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO unterstützen
- Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Ende der Dienstleistungserbringung löschen oder zurückgeben und vorhandene Kopien löschen, sofern nicht nach EU- oder mitgliedstaatlichem Recht eine Aufbewahrungspflicht besteht
- Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung des Art. 28 DSGVO zur Verfügung stellen und Überprüfungen und Inspektionen ermöglichen und dazu beitragen
6. Technische und organisatorische Maßnahmen
6.1. Der Auftragsverarbeiter implementiert folgende Maßnahmen zum Schutz personenbezogener Daten:
- Verschlüsselung: TLS/SSL-Verschlüsselung für alle Datenübertragungen; Verschlüsselung gespeicherter Daten
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle; Multi-Faktor-Authentifizierung für administrativen Zugang
- Datenisolierung: Kundendaten werden logisch nach Unternehmen/Projekt getrennt
- Sicherung: Regelmäßige automatisierte Backups mit Verschlüsselung
- Überwachung: Protokollierung von Datenzugriffen und Verarbeitungsaktivitäten
- Vorfallreaktion: Dokumentierte Verfahren zur Erkennung und Reaktion auf Datenschutzverletzungen
- Infrastruktur: Hosting innerhalb der Europäischen Union (Hetzner, Deutschland; Cloudflare EU)
7. Unterauftragsverarbeiter
7.1. Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern. Der Auftragsverarbeiter setzt derzeit folgende Unterauftragsverarbeiter ein:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Supabase Inc. (auf AWS EU-Central-1) | Datenbank, Authentifizierung, Dateispeicherung, Edge Functions | EU (Frankfurt, Deutschland) |
| Hetzner Online GmbH | Dedizierte Server-Infrastruktur für Screenshot-Erfassungs-Worker (Docker-Container) | Deutschland (Falkenstein/Nürnberg) |
| Cloudflare Inc. | Anwendungshosting (Cloudflare Workers), CDN, DDoS-Schutz, DNS, Turnstile CAPTCHA (Bot-Schutz) | EU (mit globalem Edge-Netzwerk) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung | EU (Irland) |
| Twilio Inc. (SendGrid) | Transaktionale E-Mail-Zustellung (Änderungsbenachrichtigungen, OTP-Codes) | USA (mit EU-SCCs) |
| OpenAI LLC | KI-gestützte Screenshot-Änderungsanalyse (optional, pro Ziel einstellbar) | USA (mit EU-SCCs) |
| Google LLC (Google Tag Manager, Google Analytics) | Website-Analyse und Conversion-Tracking (nur Marketingseiten, nicht innerhalb der App) | USA (mit EU-SCCs, EU-Datenverarbeitung über Google Ireland Ltd.) |
| Google LLC (Google Maps Platform) | Adress-Autovervollständigung für Rechnungsadressformulare | USA (mit EU-SCCs, EU-Datenverarbeitung über Google Ireland Ltd.) |
| CookieYes Limited | Cookie-Consent-Verwaltung (Banner-Anzeige und Präferenzspeicherung) | UK/USA (mit UK-Angemessenheitsbeschluss und EU-SCCs) |
| eRecht24 GmbH & Co. KG | API für Rechtstexterstellung (Impressum, Datenschutzerklärung) | Deutschland |
7.2. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, innerhalb von 14 Tagen Einspruch zu erheben. Erhebt der Verantwortliche Einspruch, wird der Auftragsverarbeiter den neuen Unterauftragsverarbeiter nicht für die Daten des Verantwortlichen einsetzen, oder der Verantwortliche kann den Vertrag kündigen.
8. Datenübermittlung in Drittländer
8.1. Soweit personenbezogene Daten an Unterauftragsverarbeiter außerhalb der EU/des EWR übermittelt werden (derzeit: SendGrid/USA, OpenAI/USA, Google/USA, CookieYes/UK+USA), erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und, soweit anwendbar, ergänzender Maßnahmen gemäß der Schrems-II-Entscheidung. Für Google-Dienste gilt zusätzlich das EU–U.S. Data Privacy Framework (DPF). Für UK-Übermittlungen gilt der UK-Angemessenheitsbeschluss.
9. Meldung von Datenschutzverletzungen
9.1. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Die Benachrichtigung umfasst die Art der Verletzung, die Kategorien und die ungäfähre Anzahl der betroffenen Personen und Datensätze, die voraussichtlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.
10. Löschung und Rückgabe von Daten
10.1. Nach Beendigung des Dienstleistungsvertrags wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten innerhalb von 30 Tagen zurückgeben oder löschen. Nach Ablauf dieser 30-Tage-Frist wird der Auftragsverarbeiter alle verbleibenden Kopien löschen, sofern nicht nach geltendem Recht eine Aufbewahrungspflicht besteht.
11. Anwendbares Recht
11.1. Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Im Falle eines Widerspruchs zwischen diesem AVV und den Nutzungsbedingungen hat dieser AVV in Bezug auf Datenschutzangelegenheiten Vorrang.